Your SlideShare is downloading. ×
Racunarska bezbednost i rizici računarska forenzička analiza (autosaved)1111
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Racunarska bezbednost i rizici računarska forenzička analiza (autosaved)1111

3,046

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
3,046
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
59
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. -3-
  • 2. 1. УВОДНА РАЗМАТРАЊА 1.1 Опште чињенице У свакодневном животу, у привредним делатностима, државној управи, образовању, оружаним снагама, у домовима, у свим сегментима људског деловања, наилазимо на информатичку технологију која је човеку веома олакшала, али такође, из темеља изменила живот. Данашњи развој људског друштва је једноставно незамислив без постојања информатичке технологије. Они нам омогућавају доношење брзих, правовремених, потпуних и свеобухватних одлука, што је заправо карактеристика и захтев данашњег доба. Да би смо били у стању да то све остварујемо, а поред могућности коју нам пружа информатичка технологија, потребно је испунити одговарајуће предуслове за њено ефикасно функционисање, а основни предуслов јесте његова функционалност и поузданост. Управо над питањем поузданости ових система надвио се је један таман и опасан облак – малициозни софтвер, који је у стању направити огромне материјалне штете компанијама широм света. Због постојања ове врсте опасности, развила се је посебна производно-софтверска грана чији је посао и крајњи циљ уклањање или бар смањење те опасности. Данас, готово да не можемо наићи на софтверски производ неког мање познатог произвођача за који можемо рећи да је безбедан за употребу. Стога морамо бити свесни опасности која нам прети и бити спремни да на њу одговоримо на адекватан начин. Малициозни софтвер не представља само претњу класичним персоналним рачунарима него и много ширим областима - банкарству, индустрији , трговини. Осим малициозног софтвера, као претња јављају се и многе друге грешке које могу проузроковати велике лабилности система : грешке хардверске природе, људске грешке, и многе друге. Сајберкриминал се напретком технологија све више шири те је обим жртава чија је безбедност угрожена при раду са рачунарским системима све већи. 1.2 Појам рачунарске форензичке анализе и безбедности рачунарских система Рачунарска форензичка анализа као саставни део информационих техологија, у свом изворном значењу је грана информатике која се бави прикупљењем доказа и информација са компромитованих система и машина. Међутим,у овом излагању, термин форензичка анализа биће узет са малим заокретом - у смислу целокупне безбедности рачунарских система, превенције напада, а највише као процес детекције напада и опоравка оштећених или злоупотребљених целина рачунара и информационих система. Сигурност рачунара (en. computer security) је поље рачунарства које се бави надзором, праћењем и спречавањем разних опасности које могу проузрочити нестабилност, престанак рада или било какву врсту штете на софтверу, па и хардверу рачунара. Под претпоставком да је рачунар сигуран од свих опасности (вируси, црви, и разне врсте инфекција), корисник би требао да може урадити баш оно што хоће на рачунару, што није случај ако је рачунар нападнут од стране неког штетног програма који је написан са намером да нашкоди раду рачунара. -4-
  • 3. Циљ рачунарске безбедности, као редовне области која је саставни део информационе технологије је да се чак и они обични корисници упознају са изворима угрожавања сигурности рачунарских система и мрежа, сигурносним механизмима, методама, техникама и процедурама заштите у рачунарским системима, мрежама и информационим системима,као и заштитом приватности. Ово се посебно односи на Интернет и Интранет мрежно окружење и његове специфичности, међутим биће речи и о такозваној ''offline'' заштити. Посебно ће бити скренута пажња на појам малициозног софтвера, класификацију, историјат и специфичности истог, и моделе заштите и понашања у односу на проблем малициозног софтвера. Иако се човек против одређених ризика колико толико може борити ипак постоје и претње које су у потпуности ван његове контроле.Са напретком технологије,све су чешћи случајеви кварова и оштећења рачунарских система,делимичног као и трајног губљења података, сајберкриминала, и губљења личне приватности на мрежи и ван ње. Проблематика малициозног софтвера од тренутка свог настанка задаје бриге многим корисницима ИТ (Информатичке технологије). Потреба за знањима из ове области је стална и неизбежна те се овај рад може схватити као обједињавање и допуна већ постојећих знања Без обзира на то колико се ревносно исправљају пропусти у рачунарском софтверу, он је и даље рањив. Сваким даном настане на хиљаде злонамерних идеја које нарушавају безбедност корисника,и битно је знати основне принципе заштите. Теоријска фабула овог рада биће поткрепљена великим бројем искуствених и честих примера, те ће овај пројекат бити изузетно користан свим корисницима независно од тренутног знања из ове области. 1.3 Циљеви анализе Савремена безбедносна/форензичка анализа рачунарских система има за циљ следеће: У данашње време, битно је кориговање ставова и људске свести према свим врстама опасности. Осим кориговања властитих ставова , истом мером утицати на остале кориснике како би променили свој модел понашања, уколико је до тада био погрешан. Стицање потпунијих знања из области заштите компјутерских система од неовлашћених упада, те стицање нових и употребљивих знања која ће омогућити лако сналажење у додиру са опасностима овога типа. Препознавање тежих и лакших облика деловања малициозног софтвера кроз описане практичне примере, те створити потребу за размишљањем код читаоца о моралној страни овог проблема како би он добио одговарајући импулс за самостално деловање у овој области заштите, те исправно утицао на друге. Развијање мишљења да је појава угрожене приватности одговор на један облик друштвене свести у складу са одговарајућим погрешним друштвеним вредностима, те да су креатори оваквих софтвера и сами на одређени начин друштвене “грешке”. -5-
  • 4. 2. ФОРЕНЗИЧКА АНАЛИЗА САВРЕМЕНОГ ДОБА 2.1 Напади,претње и узроци неправилног рада рачунарских система Узевши у обзир укупно окружење рачунарских система претње њиховој функционалности могу се поделити на више категорија у зависности од критеријума: 1) Грешке у раду Људске грешке Могу бити врло различите природе Хардверске грешке Да нико није савршен показао је и познати случај из 1994 године када је светски лидер у производњи процесора Интел код свог Пентиума превидео кардиналну грешку. Наиме ови процесори су давали погрешан резултат математичких операција за које је била мала вероватноћа да ће се у пракси дешавати али је ипак та вероватноћа постојала Софтверске грешке Најпознатији софтверски проблем био је прелазак у 2000. годину, будући да су многи програмери у жељи да уштеде који бајт обележавали године датума са само две последње цифре. Тако је рецимо, 1998. забележена као '98'. Ово је онемогућило квантитативни приступ датом софтверу јер би практично разлика у годинама између 2002 и 1998 била бесмислена - 02-98 не би дало правилан резултат Погрешни подаци Лоши улазни подаци увек ће проузроковати лоше резултате обраде 2) Крађе и деструкције Крађа хардвера Штета нанесена оваквим постпуком превазилази нивое вредности самог хардвера с обзиром да украдени медији могу да садрже податке много вредније од цене компонената медија Крађа софтвера Најчешће се јавлјају у случајевима неовлашћеног коришћења односно дуплицирања софтвера.Овај постпупак представља Повреду ауторских права произвођача софтвера те се за овакве поступке кривично одговара Крађа података Овде спадају крађе пин кодова и комплетних кредитних картица,као и конфисковање корисничких имена и лозинки које могу нанети велику штету -6-
  • 5. Деструктивне активности Познати су случајеви уништавања података како би се прикриле извршене малверзације.такође су чувени примери отказа многобројних програмера јер су ради освете уништили део софтвера у чијем су креирању учествовали 3) Криминал изведен уз помоћ рачунара Ова врста уништавања безбедности свакако је увек добијала највећи публицитет зато што је или била уперена према познатим институцијама или је угрозила велики број корисника. Предуслов за ову врсту криминала је постојање рачунарских мрежа преко којих је могуће приступити неком другом рачунарском систему. Бесправно коришћење броја туђе кредитне картице Фалсификовање докумената Подметање лажних информација на интернет сајтове Крађа остварена модификацијом софтвера Вируси и малициозне компоненте разоткривање корисничких 80% података 70% крађа корисничких података 60% упад на веб сајт 50% 40% погрешна 30% конфигурација 20% неовлашћени 10% приступ подацима 0% вируси и 1 малициозни програми Графикон 1: претње са којима су биле суочене фирме 2003. године -7-
  • 6. Графикон 2 : Области људске делатности из којих прете највеће опасности Графикон преузет са странице www.eset.coм 2.2. Интернет и безбедност рачунара Глобална претња Сви до сада наведени видови малверзације рачунара постојани су, као што је већ речено САМО ако постоји и рачунарских мрежа преко којих је могуће приступити неком другом рачунарском систему. Светски раширена и глобална мрежа интернет, представља НАЈВЕЋУ претњу савременог доба корисницима, с тога је згодно знати основне факторе ризика и угрожавања безбедности при коришћењу овог сервиса. Сајберпростор је као један мегалополис : у граду будућности наћи ћете савремене библиотеке, универзитете, музеје, сјајна места за дружење и забаву, срешћете људе различитих интересовања, националности, стећи нове пријатеље, упознати сродну душу. Ипак, као и у сваком граду, и у овом Нетополису постоје људи и места која треба избегавати или им прилазити са опрезом. Као и сваки други изум у историји човечанства, интернет такође може бити злоупотребљен на разне начине. Колико год да је важно и корисно говорити о ризицима приликом одређених начина употребе интернета, толико је важно и чинити то на прави начин. Због претераног застрашивања неки људи могу да почну мање да користе интернет или да чак сасвим престану, а неки минимизују проблем. Ове реакције су сасвим погрешне. Иако је малверзација сваки дан све више, у модификованим облицима,оно што је универзално, на шта се треба осврнути, јесте принцип рада узрочника и механизам заштите. -8-
  • 7. 2.3. Врсте злонамерних наметника Компромитовање система је свакидашња појава. У многим случајевима неопходно је сазнати ко је одговоран за упад, шта је резултат упада (крађа података, модификације мреже, бекдор програми), на који начин је упад постигнут и одакле. Ове информације су неопходне из више разлога: превенција даљег компромитовања, идентификација и доказима поткована тужба против починиоца. Строга и прецизна дефиниција злонамерних програма не постоји У злонамерни софтвер спада сваки код који је направљен у намери да оштети умрежен или неумрежен рачунар или на било који начин отежа његово коршћење. Искључиво имају деструктивну намену, коју им налаже њихов творац. Појам малициозног софтвера, што је кованица од енглеских речи “malicious” и “software”, је термин који се користи за све видове програма који наносе штету, било да се она односи на сигурност података на компјутеру или на штету нанету корисничкој приватности. Постоје малициозни програми који чак не наносе никакву штету системима и постоје само због тога да би њихов аутор испробао методе ширења, па је зато, логично питање да ли се такви програми могу сврстати у малициозне. Обзиром да без потребе заузимају меморијски простор и користе мрежне везе за ширење, могу се убројати у такве. Малициозни програми се класификују према томе шта чине, како се извршавају, и према начину на који се умножавају. Мeђутим, разлике између типова малициозних програма нису увек тако јасно дефинисане, па се многе врсте налазе у различитим категоријама, па на неки начин постоје и хибридни малициозни програми који комбинују особине више врста. Заједничко за све врсте малициозних софтвера је то да се шире без обзира на вољу корисника. Мотиви за за употребу овог софтвера могу бити различити: -едукативни -доказивање у “хакерском” свету -финансијска -индустријска шпијунажа -крађа новца електронским путем -преношење разних других порука (политичких, личних, па чак и сасвим бесмислених). Постоји више критеријума поделе деструктивних програма , кодова -Критеријум 'да ли захтевају носиоца' -они који захтевају носица,тј. програм у коме ће бити сакривени : тројански коњи,вируси -самостални : црви, шпијунски програми -Критеријум 'да ли се реплицирају' -они који се реплицирају : вируси, црви -они који се не реплицирају : тројански коњи, логичке бомбе -9-
  • 8. - Малициозни програми за стварање профита У току 80-их и 90-их година, сматрало се да су малициозни програми били дело вандала или шаљивџија, премда су неки били и дело оних који су на тај начин хтели да обесхрабре оне који су посезали за нелегалним верзијама софтвера. У новије време развијен је велики број малициозних програма са циљем остварења финансијског профита. Они који су креирали овакве програме имали су на уму да на неки начин уновче њихову контролу над зараженим системима. Негде од 2003. године, најскупља врста малициозног програма су били шпијунски програми и на њихов развој је потрошено највише времена и новца. Следећи начин стицања профита кориштењем малициозних програма јесте директно кориштење заражених компјутера који ће да раде за аутора малициозног програма. У намери да координишу активности великог броја инфицираних компјутера, творци малициозног програма користе координатне системе (енгл. ботнетс). У овом координатном систему се малициозни софтвер смешта на неки Интернет канал за разговор или неки други систем. У овом случају творац малициозног програма је у стању да симултано управља зараженим системима. Овај координатни систем се такође може користити да инфилтрира унапређен малициозни програм у инфицирани систем и одржи га отпорним на анти-вирусни софтвер или друге безбедносне мере. Могуће је да творац малициозног програма оствари профит крађом од особе чији компјутер је заражен. Неки малициозни програми инсталирају пратиоце (енгл. key logger) који копирају корисничко уписивање лозинке преко тастатуре , уписивање броја кредитне картице или друге информације која би могла бити корисна аутору овог програма. Овај податак се аутоматски преноси ка аутору пружајући му кључеве за крађу. На сличан начин малициозни програм може копирати ЦД кључ или лозинку за игрице онлајн омогућујући тако свом творцу да краде бројеве рачуна или саме игрице. Важно је истаћи да број корисника рачунара у свету сваким даном расте. Међу тим корисницима ипак је више оних који су мало или чак недовољно упућени на претње које им прете на глобалној мрежи-интернету. Према истраживањима највећи број корисника рачунара поседује проблеме са класичним тројан, адвер, спајвер или ворм инфекцијама, али ће ипак бити скренута пажња и на много опасније штеточине које харају дигиталним универзумом. 2.4 Како препознати рачунар заражен малициозним кодом Сваки корисник рачунара, чак и након само неколико дана рада постаје свестан његових перформанси и могућности- максималних и минималних операција које рачунар може да изврши. Уколико се посумња макар и на минимално смањење квалитета рада рачунара корисно је консултовати неког стручног, или самостално одрадити тестове на малициозне инфекције. Манифестације данашњих малвера на рачунаре, заиста су различите, па некад и неприметне, тј. никад се са сигурношћу не може тврдити да ли је , и о којој зарази реч! Важно је истаћи да многи проблеми који се јављају могу да буду апсолутно невезани за вирусе, тј могу да буду везани уза хардверске/софтверске грешке. Тако нпр. трептање монитора може да буде знак инфекције, али је апсолутно већа вероватноћа да је видео картица неисправна или било који хардверски проблем. Многе легитимне апликације се ослањају на спорадичан приступ хард диску тако да не се никад са сигурношћу не може тврдити да је реч о некој вирусној инфекцији или не. - 10 -
  • 9. Следећи случајеви морају/могу бити знакови заразе рачунара: • приметан , успорен , понекад тиме онемогућен рад на рачунару (ни најосновније апликације не могу да се извршавају) • било каква измена Виндоузовог графичког интерфејса или корисничког подешавања, коју сам корисник није начинио (промена позадине, теме) • заузеће и активност процесора је на 100% (у Таsk Manager-у CPU Usage је на 100% иако је компјутер у стању мировања и само системски процеси су у 1 току ) • нестанак или забрана коришћења било ког сервиса или системског/апликативног софтвера • нестанак било ког фајла са хард диска • појава нове апликације коју корисник није одобрио/инсталирао • приметан нестанак велике количине меморијског простора • вируси често мењају атрибуте и екстензије неких фајлова-егзекутабилних, batch, или командних (.exe .bat .com) • онемогућено покретање система због несталих системских и старт-ап фајлова Постоји још много ефеката које причини малвер, али је бесмислено набрајати,јер сваким даном све је више инфекција различитих по природи манифестације 1 100 % заузеће процесора може међутим и да буде проузроковано и укљученом Аутоматик Апдејт(Automatic Update) Виндоузовом опцијом,с тога прво треба проверити да ли је реч о томе!!!! - 11 -
  • 10. 2.5. Еволуција и статистика малвера 2008 и 2009. (Касперски лаб) У првој половини 2008.у антималвер базу Касперског додато је 440,311 дефиниција. Графикон 3 Графикон 4 Графикон 5 Графикони 3,4,5 : Распрострањеност малвера у другој половини 2008 - 12 -
  • 11. Графикон 6 : распрострањеност вормова у 2008 Графикон 7 -остали малвери 2008 Графикон 8 : најчешће мете за остварење фишинга-(PHISHING) у 2009. Графикон 9: извори Спем-а и малвера 2009. - 13 -
  • 12. 3. РАЧУНАРСКИ ВИРУСИ 3.1 Опште чињенице Рачунарски вируси су врста злонамерно написаних делова или целих рачунарских програма. За прављење ових програма постоје посебни програми - Вирус тулкис (toolkits). Поседују способност саморазмножавања, тј. инфекције (преношење зараженог програма и на друге рачунаре), по чему су слични црвима, али се разликују од осталих малвера. Може се налазити и заразити било који програм, сектор за подизање рачунара, документ који подржава макронаредбе, тако да промени садржај те датотеке те у њу копира свој код. Рачунарски вирус се обично састоји од два дела: Први део је самокопирајући код који омогућава размножавање вируса. Други део је корисна информација која може бити безопасна или опасна. Неки се састоје само од самокопирајућег кода. Понекад вирус захтева интеракцију човека да би се реплицирао попут покретања програма који садржи вирус или отварања неке заражене датотеке. Рачунарски вируси су, дакле програми писани са намером да поремете рад рачунара. Деле се на деструктивне и недеструктивне. Они први праве штету, а други су све ређи. Вирус тако на неки начин мора да се прикачи за домаћина и то тако да када се изврши домаћин изврши се и вирус. Овде је и разлика између вируса и црва, пошто црвима не требају домаћини, мада се и вируси и црви реплицирају. Вирус у ваш рачунар може да доспе на различите начине, а најчешће се дешава да их корисници несвесно преузму са интернета. С тим у вези , требало би да се зна да је интернет препун најразличитијих вируса. Они се обично налазе на Wеб сајтовима са којих је могуће илегално преузимати разне програме, игрице, филмове и музику. Вируси харају и на Wеб сајтовима еротске садржине. Поред тога што их корисници несвесно могу преузети са сумњивих Wеб сајтова, вируси се могу добити и електронском поштом. Врло често интернетом круже вирусима заражена електронска писма. Када корисник отвори неко од ових писама, аутоматски се активира вирус који затим причињава штету у рачунару. Вируси у рачунар могу доспети и са магнетне дискете или ЦД-а чији је садржај заражен а у данашње време све је више и више заражених флеш меморија и преносивих медија. Уколико рачунарски вирус на било који начин доспе у ваш рачунар, огромна је вероватноћа да ће се са вашим рачунаром догодити нешто што ви никако не желите. На пример, може се десити да вирус обрише комплетан садржај рачунара (све фајлове и фолдере). Замислите само следећу ситуацију: месецима радите на неком пројекту и таман сте га полако привели крају, а онда у ваш рачунар доспе вирус. У том случају вишемесечни рад отишао је у неповрат, и то кривицом рачунарског вируса који је израдио неки злонамерни хакер жељан доказивања својих вештина по сваку цену. 3.2 Како вируси настају, шта раде и како функционишу Познато је да је сваки кориснички програм (нпр. Wорд или Ексел) написан у неком програмском језику. Писањем програма настаје такозвани изворни кôд програма (енг. Source code). Дакле, сваки програм има свој изворни кôд. Када праве вирус, хакери у ствари отварају изворни кôд програма и у њега уграђују свој злонамерни кôд, односно вирус. - 14 -
  • 13. У кориснички програм, чија сврха није да рачунару причини штету, хакери практично уграђују вирус и тиме нормалан кориснички програм претварају у носиоца рачунарског вируса. Када такав програм, који представља носиоца рачунарског вируса, доспе у рачунар дешава се следеће: корисник рачунара покреће програм, не знајући да је он заправо носилац рачунарског вируса. Покретањем програма, покреће се и рачунарски вирус који је у њега уграден. Одмах затим вирус се учитава у радну меморију рачунара и тамо остаје све до искључивања рачунара. Зашто вирус остаје у радној меморији рачунара? Вирус тамо чека да корисник покрене неки други програм. Када корисник покрене други програм вирус се размножава, односно аутоматски се, без знања корисника, уграђује у покренути програм. Ова радња понавља се сваки пут када се покрене неки програм, докле год се вирус налази у радној меморији. На овај начин, „чучањем“ у меморији, вирус практично обезбеђује себи могућност да се мултиплицира, односно проширује на све програме који се налазе у рачунару. Када се рачунар угаси, вирус нестаје из радне меморије. Међутим, до тада се он већ аутоматски уградио у све програме који су коришћени од момента када је доспео у радну меморију па до момента када је рачунар искључен. Покретањем било ког од ових, сада већ заражених, програма цео циклус креће од почетка. Дакле, суштина је у томе да више није потребно покренути програм који је носилац вируса, вец вирус даље ради сâм и преноси се са једног програма на други. Веома брзо читав садржај рачунара постаје заражен. Ово је само прва фаза, односно фаза размножавања. Сваки рачунарски вирус, слично биолошким вирусима, има неки свој „период инкубације“ у коме је притајен и ради у позадини. У овој фази он још увек не делује деструктивно, а већина корисника током ове фазе није ни свесна да у њиховом рачунару постоји вирус. Следећа фаза је фаза активирања. Она почиње неким догађајем којим се иницира деструктивно деловање вируса. Који догађај ће иницирати поцетак фазе активације, зависи од маштовитости хакера који је направио вирус. Углавном је то неки временски период. На пример, неки вируси се активирају тачно 7 дана од дана када су доспели у рачунар. Са друге стране, неки вируси извршавају свој задатак тачно одређеног дана у месецу, или после одређеног броја покретања програма који је носилац вируса. Какву штету ће у рачунару причинити неки вирус када се активира, такође зависи од маштовитости хакера који га је направио. На пример, један од могућих сценарија је насумично отварање разних типова фајлова и измена њиховог садржаја. Може се, рецимо, десити да вирус отвори дипломски рад неког корисника рачунара, који се састоји од неколико стотина страна написаних у Wорду и да насумице измени текст. Тако вирус може свако слово м у документу заменити словом в или, на крају крајева, може избрисати цео фајл. Нешто слично вирус може да уради и са фајловима који су неопходни за рад неких програма. У том случају, програми чији су фајлови измењени или обрисани више не могу да се покрену. Такоде, вируси могу да измене или да обришу неки фајл који је од кључног значаја за исправан рад оперативног система Виндоуз. Ако се то деси настаје потпуни крах, односно најгора ноћна мора, а то је губитак података. Када вирус до ове мере узнапредује, једини лек је брисање зараженог садржаја хард диска рачунара и поновна инсталација оперативног система. То често узрокује и постављање параметара хард диска на почетне вредности, чиме се губи (брише) комплетан садржај хард диска рачунара (ова радња назива се форматирање хард диска). Вируси не морају да буду деструктивни у оволикој мери. Постоје разне врсте вируса који раде много безазленије ствари. На пример, постоје вируси који уместо вас контролишу показивач миша, или на екрану исписују одређена обавештења типа „Ја сам власник овог рачунара“, или пуштају одређену музику у одређено време... - 15 -
  • 14. Уобичајено је да се термин рачунарски вирус у жаргону користи за све врсте оваквих малих програма који чине штету и праве проблеме, мада поред вируса постоје и друге врсте ових малих напасти које се разликују од претходно споменутих класичних вируса. То су, пре свега, црви, тројанци, спајвери и није сасвим коректно користити термин вирус за њих. Штета коју могу да изазову иде од тога да понеки програм постане привремено неупотребљив, док се не нађе резервна здрава верзија, па до уништења логичке структуре диска и губитка свих података и програма са њега. У том случају једини лек је формитирање диска, то јест физичко брисање свега што је на њему било и уписивање нове, исправне и празне структуре, поновно инсталирање оперативног система и свих апликација, те враћање података из последње архиве, ако сте такво нешто уопште и направили. Вируси могу искључиво да нанесу штету софтверу, али не и хардверу. Занимљиво је да постоје вируси (нпр. CIH) који нападају одређене врсте БИОС-а, бришући све податке из њега, и остављајући компјутер неупотребљивим све док се у БИОС (Basic input-output system) чип поново не упише његов програм. Међутим, могућност да вируси оштете хардвер не треба у потпуности одбацити јер постоје идеје на који би се начин то могло постићи. На пример, вирус који би могао да промени резолуцију слике на монитору више пута у секунди би најверованије после неког релативно кратког времена изазвао квар на њему. Могућност оштећења хардвера уз помоћ малициозног програма у многоме зависи од саме конструкције хардвера и од тога да ли он има грешака у конструкцији. 3.3 Историјски развој вируса Први прави предак данашњих вируса био је Prevading Animal који је био способан да се надодаје на друге програме на UNIVAC 1108 рачунарском систему. Компјутерски вируси су прва форма малициозних програма која се је појавила 1981. године. Термин компјутерски вирус је дао Фред Коен (Fred Cohen) док је експериментисао са DEC VAX компјутерима у оквиру научно-истраживачког рада 1983. Фред Коен је демонстрирао програм који напада друге програме и копира сам себе без знања корисника. Његов професор Ленард Адлман (Leonard Adleman) је, после проучавања дејства програма, први поменуо име “компјутерски вирус”. Тада је он класификовао вирусе на лабораторијске и неконтролисане (енгл. In the Wild) вирусе. Вирус Creeper је прво откривен на мрежи АРПАНЕТ која је претходила данашњем Интернету, у раним седамдесетим годинама. Преносио се преко оперативног система Tenex и могао је да се служи било којим спојеним модемом да би бирао удаљене компјутере ради заразе. Приказивао је поруку “I am the creeper, catch me if you can”. Први потврђен налаз рач. вируса је био 1982. и звао се Elk Cloner. Тај вирус је инфицирао BOOT сектор дискета за Apple II рачунаре. 1988. је био вирус Јерусалим који је брисао све покренуте програме, а 1989. Datacrime који је био способан извршити Low level формат нулте стазе2 на диску. Исте године у Бугарској је активирана права фабрика вируса. Први вируси били су прилично шаљиви, например Vienna B, препознавао се по падању слова по екрану, Јенки Дудл, назван тако по тексту који уписује у стартни сектор диска, Пинк Понг које је шетао "лоптицу" по екрану и Каменко, који је исписивао поруку "Ваш диск се скаменио", а понекад и "легализујте марихуану". 2 Сектор са подацима за подизање система који се још назива партицијски сектор,или нулти сектор тврдог диска - 16 -
  • 15. Ипак, за први вирус сматра се,већ поменути Еlk Cloner који се појавио у јулу 1982. године. Радило се о вирусу који је нападао рачунаре Apple II, а ширио се тако што се "качио" за игрицу која је била написана за те рачунаре и уз помоћ дискета прелазио са рачунара на рачунар. Аутор овог првог вируса био је један средњошколац из америчког града Питсбурга, а игра је била подешена тако да може играти 49 пута, након чега би се покренуо вирус, који би на монитору исписивао стихове из песме чији аутор је био поменути средњошколац. Уместо да се појави игрица,појавио би се празан екран а на њему је била написана песмица о овом вирусу. Слика 1 : пример поруке рачунарског вируса Песмица је изгледала овако: „Elk Cloner: The program with a personality It will get on all your disks It will infiltrate your chips Yes it`s Cloner! It will stick to you like glue It will modify RAM too Send in the Cloner! Потом би компјутер био заражен Један од првих вируса који је покренуо епидемију глобалнх размера (и због којег је касније уведен данас познати термин "злонамерни софтвер"), био је вирус Мелиса који се појавио 1999. године а ширио се као датотека приложена уз поруку е-поште, и само у Северној Америци заразио је више од милион рачунара. - 17 -
  • 16. 3.4 Најгори малвер до сада WORD.CONCEPT: Први макро вирус. Инфицирао је Wорд документе, али није правио никакву озбиљну штету. Ипак, ширио се је као шумски пожар. Године 1996. био је најприсутнији вирус на свету, а и данас се још увек налази. MELLISA Један од првих вируса који се користи данас тако што се сам шаље сваком из адресара компјутера. Мелиса је проузроковала штету од око 385 милиона $. Мелиса је заразила 15 до 20 % свих пословних компјутера на свету. Вирус Мелиса се ширио тако брзо да су неке од највећих фирми које су користиле програм за електронску пошту Outlook express као клијент биле присиљене угасити системе за размену електронске поште. Вирус је користио Outlook да сам себе пошаље на 50 адреса које је нашао у именику споменутог програма. Поруке су садржавале реченицу “Here is that document you asked for… Dont show anyone else.” ; (Ово је документ који сте тражили . . . . Немојте то показивати никоме другом.). Чини се да је крај те реченице био превише за знатижељу корисника, који су масовно отварали приложени документ. MICHELANGELO Први вирус који је напао велики број компјутера, био је и први пример мита који се ствара о вирусима. Приче из медија успеле су преплашити све, али када је дошао , био је безопаснији од очекиваног. BUBBLEBOY: Око овог вируса се створило више панике него што је било потребно, али је један од најпознатијих вируса до данас. Пре њега се није могао добити вирус једноставно читајући електронску пошту. Баблбој је то све променио. CODE RED Најскупљи вирус у историји Интернета. Користећи стару грешку у сигурносном систему компјутера, његова функција је била претворити компјутере у зомбије који одбијају наредбе. У само девет сати успео је заразити 250000 компјутера, а штета коју је проузроковао процењена је на 2,62 милијарде УСД. “Нема сумње да је ово најскупљи вирус у историји Интернета.”, рекао је Michael Еrbschloe, потпредседник компаније Computer Economics. Уз то је додао да н еби могао да утврди колико ће још ова два вируса коштати компаније да очисте неред који су вируси оставили иза себе. CIH CIH: Овај вирус се је проширио са Тајвана 1998. године. Било је то доба ОС Wиндоwс 98 и још старијих ОС Wиндоwс 95, чије је извршне датотеке нападао. Вирус је имао способност задржавања у меморији компјутера. То је било место одакле је нападао друге из вршне датотеке. Одмах након заразе CIH би извршио свој малициозни задатак, а то је било брисање и преписивање података на тврдом диску. Вирус је познат по томе што се је чак успео убацити у извршну датотеку демо верзије тада популарне игре Син, па се и тако ширио. Познат је и под именом Чернобил због подударности датума активације неких верзија са датумом познате нуклеарне катастрофе. Данас, ЦИХ није озбиљна претња због некомпатибилности са новијим оперативним системима Windows 2000, Windоws XP, Windоws Vistа, али и спремности антивирусних софтвера. - 18 -
  • 17. SOBIG F: Sobig Ф, који се проширио са више од милион копија у прва 24 сата заразе. Вирус се је ширио електронском поштом и слао је сам себе са инфицираних компјутера. Због брзог ширења изазвао је веома загушени мрежни саобраћај на Интернету. Мајкрософт је расписао награду од 250 000 $ за хватање писца али он до данашњег дана није познат. My DOOM : МyDоом је забележен као вирус који се је најбрже ширио по компјутерима корисника. Метода ширења је преко електронске поште, али се је МyDoom вешто маскирао као порука коју корисник добија када његова електронска пошта не буде достављена. У таквим случајевима је оригинална порука укључена као додатак, који је у овом случају био вирус. Осим електронском поштом, МyДоом се је покушао проширити и помоћу тада популарног P2P сервиса Kazaa. Зараза је била тако успешна да се процењује да је једна од 10 послатих електронских порука, прослеђених у почетку ширења заразе, садржавала вирус. SASSER Сасер је још један вирус који се је за своје ширење ослонио на сигурносни пропуст у оперативним системима Wиндоwс 2000 и Wиндоwс XП. Заражени компјутери су радили веома нестабилно. Вирус је био толико успешан у ширењу и онеспособљавању функционисања компјутера да је успео прекинути сателитске комуникације француских новинских агенција и отказати бројнелетове фирме Делта Ерлајнс. LOVEBUG: Познатији као ’I LOVE YOU’ вирус , искористио је људску знатижељу да би се ширио, и у томе успео. Заразио је 45 милиона компјутера у једном дану и направио штету од 8,75 милијарди УСД. ...................................I love you….. или како је љубавна порука заразила свет и многима задала финансиjске бриге. Кажу да на сваком језику постоји израз „волим те”. У јануару 2008. године људима повезаним на Интернет није било до “љубави”, јер је Интернетом харао нови вирус „ I love you… Прво је примећен у Азији, да би само за неколико сати запљуснуо Америку и Европу, харајући по компјутерским системима. Није бирао жртве: намучио је запослене у ЦИА, Пентагону, Белој кући,Мicrosoftu, итд; углавном није било веће компаније која није погођена. Када су компјутерски корисници узбуњени већ је било касно. Штета од вируса се, за сада, процењује на седам милијарди долара. Вирус је лукаво прерушен у додатак електронске поруке, а пуно име му је гласило „Love- letter-for-you.ТXТ.vbs. Екстензија .vbs није видљива на свим компјутерима, а означава Visual basic script који преко Windows scripting hosta може да приступи сваком ресурсу копјутера или иницира било којu операцију. Страх корисника је оправдан само у случају да користе програм за електронску пошту Outlook express, док су корисници осталих маил клијената сигурни. Двоклик на документ иницира следеће акције: вирус прво приступа адресару и шаље своју копију на све адресе, затим покушава да приступи једном од четири сервера на Филипинима и преузме тројанског коња (WinBugsfix.exe), затим поново шаље сам себе на све адресе из адресара и на крају уништава све мултимедијалне документе (слике, мп3, мп2...), јава скрипт документе или .vbs документе на компјутеру корисника (нпр. мп3 документе би учинио невидљивим и уместо њих поставио своју истоимену копију). Потрага за починиоцима почела је убрзо после откривања вируса. Прво је лоциран у Азији, а затим су као место порекла одређени Филипини. Агенти ФБИ су уско сарађивали са Филипинским властима у потрази за починиоцима. По откривању рачуна са кога је вирус први пут пуштен и сазнавању телефонског броја (Интернет провајдери су у - 19 -
  • 18. потпуности ставили своје податке на увид), прво је осумњичена за сада неименована девојка. Налог за хапшење је издат тек три дана касније, јер на Филипинима не постоји правна регулатива којa разматра ширење малициозних програма преко Интернета. Прво је ухапшен Риомел Ламорес, који је користећи компјутер своје девојке (првоосумњичене) убацио вирус на Интернет. Убрзо је оптужен и његов друг Мichael Buen који је пре годину дана покушао да дипломира на локалном колеџу, а за тему дипломског рада је узео „Како украсти туђе лозинке преко Интернета?”. Листа оптужених је наставила да расте док није стала на једнаест особа. Сви оптужени су чланови неформалне групе која је локалним пословним људима правила неопходан софтвер, а на Интернету се представљала под именом „ Grammersoft. Сви чланови групе су похађали локални АМА Computer college, а директор школе је указао на осумњичене чланове. Највећа затворска казна, уколико буду осуђени, биће три године. После сузбијања вируса, на Интернету се повела расправа о сигурности ОС Wиндоwс, као и о опцијама које просечан корисник никада не користи, али су зато више него примамљиве за хакере. Званичници компаније Мicrosoft су изјавили да кривица није на њима, јер су Active X I Windows Scripting ту због лакоће коришћења, а не због “хакера”. Нова поправка за Outlook Express искључује могућност аутоматског покретања неких скриптова и поставља зид свим скриптовима који би да прилазе адресару, да би се на тај начин онемогућило неконтролисано ширење вируса. 3.5 Најчешћи путеви заразе -Флоппy дискета -Измењени хард диск -ЦД-РОМ (једном издрађен без инфекције датотека је потпуно сигуран јер је на њега не могуће уписивати) -Рачунарске мреже (E-mail, IRC,News,Download) -УСБ меморије,МП3 плејери -Путем малициозних АctiveX Јава и Јава скрипт програма. Искориштавањем сигурносних пропуста у систему (користећи експлоите), а то је пут којим се шире црви. Приликом посећивања Интернета треба бити посебно обазрив са одређеним типовима wеб страница, а најопасније су странице које садрже “крек” програме, јер се је показало да у релативно великом броју случајева програми за “крековање” других програма у себи садрже и малициозни код, понекад искључиво малициозни код. Треба дозволити извршавање АkтивX и Јава програма само за оне странице за које смо сигурни да су озбиљне. Новогодишње честитке у виду слика, видео записа, малих програма који су додатак електронској пошти преплавиле су многе компјутере у свету. Наравно то је била изврсна прилика да се поткраде по неки вирус који ће касније наносити бриге ширећи се по систему и уништавајући све што му је као циљ акције испрограмирао његов аутор. - 20 -
  • 19. 3.6 Последице зараза Зависе од садржаја вируса: Реклама-Амстрад Песмица Љубавна/политичка порука-Малтесе Амеба, Милана, Јерусалем, ИРА... Искривљен приказ екрана-1575, 757, Ambulance, Carterpillar Форматирање диска-Casper, datacrime,Michelangelo Доводе до Cros linked files,тј. унакрсно повезивање датотека Грешке у раду 3.7 Врсте вируса 3.7.1 Према начину деловања: 3.7.1.1 Вируси почетног сектора- Boot Sector Вирус 3.7.1.2 Паразитски вируси- Parasite Вирус 3.7.1.3 Свестрани вируси- Multipartite Вирус 3.7.1.4 Вируси пратиоци-Companion Вирус 3.7.1.5 Линк вируси-Link Вирус 3.7.2. По начину скривања 3.7.2.1 Шифровани- Encripted Вирус 3.7.2.2 Полиморфни- Polimorphic Вирус 3.7.2.3 Невидљиви- Stealth Вирус 3.7.2.4 Мутирани- Mutation Вирус 3. 7.3 По томе шта се с њима дешава након што изврше свој “задатак”: 3.7.3.1 Резидентни 3.7.3.2 Нерезидентни (активни) 3.7.1.1 Вируси почетног сектора - нападају и мењају садржај почетног сектора - изворни садржај премештају на неки други део диска, а своју верзију уграђују, па се тако она прва изводи при подизању система -инфекција настаје када се у диск јединицу покренутог рачунара стави заражена ДОС Боот дискета 3.7.1.2 Паразитски вируси -инфекција извршне датотеке- .COM, .EXE .SZS, OVL... -пр. Cascade, Jerusalem, Vbasic... 3.7.1.3 Свестрани вируси -изузетно ефикасни у размножавању -нападају Боот Сектор деструктивно и ЕXЕ и COM програм паразитски -пр. Spanish,Telecom, Tequila, Flip, Liberty, В-1... - 21 -
  • 20. 3.7.1.4 Вируси пратиоци -најједноставнији, користе предности којима се извршавају програми са истим оперативним системима -нису јако опасни јер не мењају садржај “нападнутог” програма -пр. 16850, Clonewar, Even Beeper, Globe, Breeder 3.7.1.5 Линк вируси –најинфективнији -не мењају “нападнут” програм, већ показиваче у структури директоријума 3.7.2.1 Шифровани вируси –кодира се, тј. мења изворне податке ради прикривања правог садржаја -није у могућности да мења део кода који врши дешифрирање 3.7.2.2 Полиморфни вируси –преобликује извршни код и истовремено мења његов изглед -технички је усавршен јер приликом сваке наредне инфекције настоји изменити и део вируса који врши шифровање -пр. 1260, Dark avanger mutation engine 3.7.2.3 Невидљиви вируси –комплексна техника -систем заражен овим вирусом не показује ништа необично 3.7.2.4 Мутирани вируси –настају унапређивањем, тј. изменом и допуном на вирусном коду -пр.Од вируса New Zeland “развио” се вирус Michelangelo 3.7.3.1 Резидентни вируси –инсталирају се у радну меморију и остају активни дуго након што програм буде извршен -изузетно су инфективни и способни да користе све вирусне технике 3.7.3.2 Нерезидентни вируси -налазе погодан објект за инфицирање и заразе га -не остају активни у меморији када њихов рад буде извршен -мање су инфективни - 22 -
  • 21. 4.ТРОЈАНСКИ КОЊИ 4.1 Опште чињенице Тројанци су такође штетни програми али се од вируса разликују по томе што се не размножавају. Име су добили по већ свима познатој причи о тројанском коњу, јер корисник сам покреће заражени фајл, бивајући преварен садржајем поруке, и тако отвара врата другим штеточинама.Они као и црви не морају да буду сакривени унутар неког другог програма, већ једноставно могу бити маскирани као неки користан програм, а у ствари праве само штету (брисање, форматирање диска и сл). Најчешћи случај тројанске заразе јесте баш понуда да се инсталира нешто иоле много корисно што ће привући корисника.Тројанце ћете највероватније моћи добити преко интернета и е маила, биће прикачени уз неку поруку у којој ћете бити замољени да стартујете дотични фајл, јер ће Вам он "много помоћи" и сличне навлакуше.Када стартујете тај програм, тројанац је код Вас. Даље ће се дешавати то да ће дотични тројанац омогућити тамо негде некоме приступ Вашем рачунару без Вашег знања, и тај неко ће моћи са Вашим рачунаром да ради шта му је воље, да Вам скида податке, да их брише и још штошта. Највероватније је да ће тек пристигли тројанац да се смести на хард диск у виду неког софтвера,и то да би скренуо пажњу,аутоматски ће се покренути и сместити доле у таскбар поред сата, у System Tray . Колико могу да буду штетни,довољно говори чињеница да се тројанци познатији као dropperi користе да покрену активност црва тако што ће црва убацити у корисничку мрежу. Битно је истаћи да ћете тројанца добити и на елегантан начин-уз неки сасвим бенигни софтвер . Позната је чињеница да при свакој инсталацији софтвера аутор/компанија прво нуде гомилу текста за прочитати а затим прихватити услове коришћења и последице...Тај текст ипак садржи корисну ствар-присуство малвера скоро увек је споменуто тако да они скидају одговорност са себе,али заиста мали број корисника чита комплетну лиценцу програма. Постоје и тројански коњи у служби полиције које се баве прикупљањем информација са циљем откривања кривичног дела(Remote forensic software). Tројански коњи поседује посебне механизме за одбрану против уклањања-и то не само да се елегантно сакрију већ и да одбију покушаје свог уклањања. Један овакав случај забележен је у Jargon file причи(Guy Steele,1989),о пару програма који су провалили у XEROX CP-V систем за дељење времена: Сваки дух би открио чињеницу да је други био уништен и почео би стварање нове копије недавно уништеног програма у року од неколико милисекунди.Једини начин да се униште оба духа је био да се униште симултано-што је било изузетно тешко,па је једино преостајало реинсталирати систем. - 23 -
  • 22. Сличне технике се користе у неким модерним малициозним програмима где тројан почиње неколико процеса који прате један други и поново рестартују било који процес ако га је случајно корисник прекинуо.1 СЛИКА 2 : ИЗГЛЕД ДЕСКТОПА РАЧУНАРА ЗАРАЖЕНОГ ВИРТУМОНДЕ-ом 1 Познат пример овога јесте ВИРТУМОНДЕ.Овај malware појавио се ....... године поводом........Овај тројан одликује се изузуетном упорношћу и лукавошћу. Своје сврхе манифестује тек некон неколико дана од уласка у систем.Заражава Виндоузову Регистар базу као и фолдер Систем32 за који са зна да садржи системске фајлове од изузетне важности. Јачина овог тројанца огледа се у томе што и данас не постоје дефиниције на већини квалитетних антивирус и антитројан програма,те их они не детектују.Једини програм који га налази јесте Спајбот,али ту се прича не завршава. По горе наведеном поступку,иако га спајбот детектује,након чишћења и поновног старта рачунара он се опет појављује..Имунизације и блокаде немају апсолутно никакав ефекат. Виртумонде је изузетно чест малвер тако да се треба пазити. Његова тачна локација се не зна,али се сматра да га садрже одређени бенигни софвери уз себе,или њихови веб сајтови у виду реклама. Мануелне технике вађења ове напасти такође не пролазе,а ефекти које причињава зависе од временског интервала присуства у систему,верзије и локације на хард диску.Знакови заразе овим тројанцем су следећи: виндоус експлорер се самостално гаси,на сваких пар минута у почетку,гомила нових преоцеса детектована у Таск менаџеру,блокада интернет протокола-онемогућава приступ интернету ,за почетну страну у браузерима ставља страницу лажног антиспијунског програма,јављају се фаталне грешке у софверу(искуствени пример је то да компјутер губи информације о инсталираним и присутним оптичким уређајима тј цд/двд ромовима те је резање као и већина ствари онемогућено),измењен кориснички визуелни интерфејс(пример из искуства-хард дискови губе своја првобитна имена,те све опције типа Explore ili Open,бивају исписане на кинеском или хијероглифском писму)и многе друге. -укулоико је случајно систем за рестаурацију система био укључен аутоматски-једини лек против овог тројанца постаје форматирање партиције,понекад је потребно чак и свих! - 24 -
  • 23. 4.2 Начин инфекције тројанским коњем Тројански коњ је скоро увек тако дизајниран да учини много разних штетних појава, али такође може да буде безопасан. Они су подељени према начину на који све могу да оштете системе. Постоји девет главних типова инфекције са тројанским коњем: -Удаљени приступ -Слање електронске поште., -Уништавање докумената., -Тројански коњ који се преузима., -Proxy Тројански коњ., -ФТП Тројански коњ (додаје или копира документа са зараженог компјутера)., -Онемогућавање безбедносног софтвера ., -Напад у виду одбијања сервиса (ДоС)., -УРЛ Тројански коњ (упућивање зараженог компјутера да сам успостави везу са Интернетом преко неког веома скупог сервиса)., 4.3 Штета коју начини тројански коњ -Брисање и преписивање података на компјутеру., -Шифровање датотека., -Измена садржаја датотека., -Слање и преузимање датотека., -Дозвољавање даљинског приступа ка жртвином компјутеру. Ово се зове РАТ –Remote Acess Trojan -Ширење других малициозних програма као што су вируси: овај тип тројанског коња се зове Dropperili vector -Успостављање мреже зомби комјутера у намери да се омогуће ДоС напади или шаљу спамови. -Шпијунирање корисника компјутера и прикривено слање података творцу малициозног програма -Снимање уписа лозинке и бројева кредитних картица.. -тражење банковних или других рачуноводствених детаља коији би се могли користити за криминалне делатности -Инсталирање позадинаца на комјутерски систем -Отварање и затварање ЦД-РОМ клизача -Преснимавање адреса и њихово касније коришћење за слање рекламних порука -Рестартовање компјутера сваки пута када се комјутер стартује., -Деактивирање или уплитање у анти-вирус и „ватрени зид” програме ., 4.4. Прикривање Тројански коњи се сакривају коришћењем регистра, на тај начин што у регистру додаје неке податке како би омогућио своје покретање сваки пут када се укључи компјутер. Такође користи методе које омогућују да малициозни програм функционише док је компјутер укључен. - 25 -
  • 24. Осим овог, тројански коњ је комбинован са великим бројем датотека које изгледају сасвим легално. Тројански коњ се активира када се отворе датотеке који су комбиноване са њим. Када је овај поступак у току онда ту учествују још неки програми који помажу у извођењу напада. 4.4. Методе брисања Будући да тројански коњи имају различите форме, не постоји јединствен метод за њихово брисање. Најједноставнији начин укључује брисање привремених интернет датотека на компјутеру, или налажење зараженог документа и његовим личним брисањем. Уколико АВ програм неможе да га нађе онда ту може да помогне рестартовање у сигурном моду што дозвољава АВ програму да тројанског коња нађе и обрише. На светском тржишту сада већ постоји гомила антималвер алата,али по питању тројанаца треба истаћи Spybot Search & Destroy. Потпуно беспалтан за преузимање показао се изузетно ефикасан у борби против ових напасти. Сваки Тројанац који имало утиче и има ефекта на систем биће препознат и Спајбот ће покушати да га уништи.Овај програм карактеришу и свакодневна ажурирања дефиниција . Треба међутим нагласити неке основне потезе пре покретања било ког антитројан алата : -сваки скен код оваквих врста малвера потребно је обавити у ткз Safe modu, јер се њиме дижу само основни процеси потребни за рад рачунара,те је омогућено евентуално избрисати тројана , јер његов процес није тренутно у листи активних -Обавезно бити офлајн значи ван интернета,или мреже -искључити систем рестор, јер он чува аутоматски неке тачке, и врло је могуће да направи копију тројана/црва и онемогући брисање Након сваког пронађеног тројанца покушати испратити његову путању-Спајбот детаљно избацује путању и локацију заразе те мануелно избрисати евентуалне трагове заразе. Слика 3 : Тројански коњ који је управо искористио напрефну технику за убацивање у систем : Нод детектује инфекцију,али није у могућности да је избрише - 26 -
  • 25. 5. ЦРВИ 5.1 Опште чињенице Црв је самостални програм који за разлику од вируса не треба други програм да би радио. Када црв уђе у систем, он даље може да путује сам. Велика опасност код црва јесте њихова способност да се умножавају у огромном броју. На пример, црв би могао да пошаље копије себе самог свима из вашег адресара у програму за електронску пошту Outlook Express, а затим би њихови компјутери урадили то исто, чиме се изазива домино ефект загушења у мрежном саобраћају што успорава пословне мреже и Интернет у целини, а пример за то је глобално успорење Интернета при максималном ширењу једног од најпоз натијих и најраширенијег вируса данашњице, црва Mydoom-a. Први црв се је појавио 1978.године. Црви се, за разлику од вируса, најчешће шире путем емаила, мада могу и преко ИРЦ канала. Црви се шире тако што потенцијална жртва добије емаил на који је прикачен фајл са црвом и чим га стартује црв ће се пренети на рачунар и одатле путем е маила ширити се даље.Црви ће са Вашег програма за слање поште прочитати све адресе које имате записане и уз неку безвезну поруку послати себе на све те адресе. Неки црви су опасни, али има и оних који се само труде да се размноже у што више примерака и ништа деструктивно не раде на рачунару. Заразу ћете најлакше спречити ако не отварате сумњиве фајлове и поготово ако користите неки програм за елиминисање нежељене поште. Има неколико добрих програма, Маил Инспектор мада има још добрих сличних програма. Црвима је обично намена преузети контролу над рачунаром и омогућити удаљену контролу чак и након примјене сигурносних закрпа. Ово постижу отварањем такозваних "стражњих врата" (backdoor) кроз која аутор може издавати наредбе вашем рачунару без вашег знања. Чак и када црв сам по себи нема злонамерног кода, што је понекад био случај, количина мрежног промета који ствара ширећи се може успорити или чак онемогућити нормалан рад на Интернету или локалној мрежи. Неки црви посегнуће и за вашим шифрама и особним подацима те их ставити на располагање аутору. На пример, врло чест узрок успорења ваше Интернет конекције заиста могу бити црви, те се немојте изненадити ако добијете хрпу упозорења због разних нежељених порука које ваш рачунар, заражен црвом, шаље на милионе е-маил адреса. За разлику од вируса, црви нису део других програма, већ су то посебни програми који се преносе и извршавају користећи слабости оперативаног система, а посебно програма за трансмисију података на Интернету. 5.2 Врсте црва Постоје две врсте црва: --Црв на компјутеру домаћину (енгл.Host computer worms) Ова врста црва не копира себе више пута на један компјутер већ само једном и онда се копира на следећи компјутер у мрежи и тако даље. Понекад се овакви црви називају зечићи (енгл. rabbits). --Мрежни црви (енгл.network worms) - 27 -
  • 26. Ови црви се састоје из више сегмената, сваки се налази на неком другом компјутеру и извршава свој део задатка. Они комуницирају преко главног сегмента који им уједно служи као координатор. Називају се и октоподи Као и вирус, црв програм се умножава али не инфицира остале документе или програме. Црви шетају путем дискета или мрежом, али највише електронском поштом. На зараженом компјутеру постоји опасност од црва да ће се умнож ити толико пута да ће вам напунити диск и угушити Ваш систем. 5.3 Штета коју прави тројански коњ Следећи примeр ће показати како ради класични црв.: Долази електронска порука од некога познатог. Предмет поруке је “Зашто се не јављаш?”. У писму се може прочитати порука “Ово смо ја и Bill Clinton!”. Заједно са тим постоји и додатак слика под називом “Ја и Bill clinton.jpg.vbs”. Претпоставка је да ће прималац отворити слику коју му шаље пријатељ. Чим отвори слику (која није слика), црв ће да пише преко свих докумената са специфичним наставцима, измедју осталих .css, .jpg и .mp3 Потом црв “улази” у Оутлоок Еxпресс и шаље се свима који се налазе у адресару. Коначно, црв инфицира кориснички компјутер са Chernobyl вирусом (W95/ЦИХ)..Црв носи вирус у свом коду што чини изузетно опасну комбинацију. Chernobyl вирус ће да пише “смеће” на тврдом диску и брише БИОС компјутера, што проузрокује колапс система и трошкове за реинсталацију система. Како се могла препознати ова малициозна подвала? Документ (у овом случају фотографија) која је долази као додатак електронске поруке се завршава са злогласном .vbs екстензијом. Аутори вируса у задње две-три године искориштавају Visual basic script, да би лакше убацили вирусе у разне системе. НИКО,осим програмера (са којим можда радите на неком програму), неће слати документе са .vbs екстензијом. И ако се не зна шта је .вбс документ, нема разлога за отворање. Дакле, треба брисати све што има .вбс на крају назива. Битно је да код већине корисника који желе да се осећају сигурније СВЕ екстензије па чак и за познате типове фајлова буду укључене и видљиве( Hide extensions for knwon file types treba da bude bez kvačice u Folder options-u) Вирус поруке које су писане углавном на Енглеском језику су, веома често, веома лоше спеловане или имају неприхватљиву синтаксу. Даље, треба обратити пажњу да ли има смисла садржај поруке и додатак. Ако се деси нешто слично, особу која је посл ала заражени документ теба ставити на “црну” листу и скенирати све поруке које стижу. Црв Ana Kournikova се ширио најбрже, али је учинио и мање штете. Прерушен као слика познате тенисерке, аутоматски је ишао уписанима у адресар зараженог корисника. - 28 -
  • 27. 6. ШПИЈУНСКИ ПРОГРАМИ(SPYWARE) 6.1 Опште чињенице Огромна количина трака са алаткама (енгл.тоолбар), где је некима додат шпијунски програм, преплавила је Интернет. Шпијунски програм је компјутерски софтвер, наменски инсталиран на персонални компјутер са циљем преузимања делимичне контроле у корисничкој интеракцији са компјутером без корисничког знања (Symantec, 2007). Премда сам термин ”шпијунски програм” даје сугестију да се ради о врсти програма чија је намена шпијунирање корисника, функције овог малициозног програма превазилазе та очекивања. Шпијунски програми могу прикупљати различите типове персоналних података, али такође могу да се умешају у корисничку контролу компјутера и то на више начина, као што је инсталација додатног софтвера, преусмеравање активности Wеб претраживача, приступање неким Wеб страницама што може проузроковати сакупљање више штетних вируса или чак преусмеравање исплата ка трећој страни. Шпијунски програм може чак да измени комјутерска подешавања што резултира малом брзином конектовања, губитак неких програма и сл. 6.2. Историјат и развој Прва забележена употреба термина шпијунски програм се је догодила 16.10.1995. године. Према студији компаније АОЛ у National Cyber-Security Alliance из 2005.године, 61% прегледаних корисничких компјутера је имало неки облик шпијунских програма. 92% од прегледаних корисничких компјутера са шпијунским програмом су изјавили да нису ништа знали о постојању овог програма, а 91% од њих је изјавио да нису ни дали дозволу за инсталацију ове врсте апликација. Од 2006. године, шпијунски програм је постао једна од првих претњи комјутерским системима који имају Windows оперативни систем. На једној процени заснованој на извештајима о скенираним корисничким компјутерима, компанија Wеброот Софтвер, творац програма за уклањање шпијунских програма (енгл. Spy Sweeper), је рекао да су девет од десет прикључених компјутера на интернету инфектни. Компјутери где је Интернет Еxплорер (ИЕ) основни претраживач су посебно рањиви при таквим нападима, не само због тога што је Internet Еxplorer толико широко распрострањен, него због тога што његова блиска интеграција са оперативним системом дозвољава шпијунским програмима приступ ка значајним елементима тог оперативног система. 6.3 Однос шпијунског програма, вируса и црва За разлику од вируса и црва, шпијунски програм се углавном не репликује. Међутим, слично већем броју вируса који су се појавили у задне време, шпијунски програм користи инфицирани компјутер да би остварио комерцијалну корист. Препознатљива тактика у постизању овог циља укључује испоруку ненаметљивих рекламних прозорчића; крађу персоналних информација (укључујући финансиске информације као бројеви кредитних картица); праћење активности приликом Wеб претраживања да би се остварили неки маркентиншки циљеви; или упућивање HTTP захтева ка оглашавачким сајтовима. - 29 -
  • 28. Слика : Покушај инсталације шпијунског софтвера уз сагласност корисника 6.4. Ефекти и понашање Ретко се дешава да је шпијунски програм сам на компјутеру: инфицирана машина може веома брзо бити инфицирана са многим другим компонентама. Корисници често примећују нежељена понашања и умањење системских перформанси. Присутност шпијунских програма може проузроковати значајну нежељену активност процесора,искоришћења диска, повећање мрежног саобраћаја. Све ово значајно успорава рад компјутера. Пад стабилности система, као умањење постојаности апликација и колапс система се ретко дешавају. Шпијунски програм, који углавном има интеракцију са мрежним софтвером углавном проузрокује проблеме у вези са Интернетом. У неким инфекцијама, шпијунски програм није чак ни приметан. Корисници долазе у ситуације да проблеме повезују са хардвером, проб лемима са инсталацијом или вирусима. Неки власници веома инфицираних система су чак купили нове компјутере пошто је постојећи компјутер постао превише спор. Овакви системи захтевају реинсталацију оперативног система како би повратили пуну функционалност. Ретко се дешава да само један нежељени софтвер учини да компјутер буде неупотребљив. Ако је такав, вероватно има много инфекција. У једној студији компаније АОЛ из 2004. године је наглашено, да уколико компјутер има инсталиран само један шпијунски програм, тада сигурно има инсталирано још туце других различитих програма. 6.5 Први знакови заразе рачунара Сваки малициозни програм је специфичан на свој начин и сваки мења неке друге поставке рачунара. Ово су само неки знакови заразе које сваки корисник може приметити. * Промењене странице у ИЕ Favorites ( ili Bookmarks ) * Промењена почетна страница * Поп-уп прозори искачу и када нисте на Интернету * Нове иконе на радној површини - 30 -
  • 29. * Нови програми које нисте сами инсталирали * Успорено рачунар * Успорено отварање и освежавање страница * При покретању рачунара појављују се чудне поруке * Неки програми у склопу Wиндоwса не раде (Notepad, Media Player, IE) * Искључивање Интернет конекције након кратког времена 6.6 ADWARE Адвертајзинг, рекламни вируси су изузетно досадни. Једино што раде јесте рекламирање фирми и то отварањем прозора рекламе без вашег одобрења. То раде на тај начин што када год сте на Интернету прикупљају адресе презентација оних фирми које су врло често дале новац за овај вид оглашавања. Још једна особина ових вируса је да мењају почетну страницу вашег Интернет претраживача, коју при том не можете више једноставно да промените. Група ових вируса није деструктивна, али омета нормалан рад. 6.7 Примери шпијунских програма Ови обични шпијунски програми на најбољи начин приказују различитост понашања показаног приликом њиховог напада. Примећујете да су истраживачи дали имена овим шпијунским програмима баш као и компјутерским вирусима, а да се та иста имена не користе од стране њихових креатора. Програми су груписани у породице на основу, не само програмског кода, већ обичног понашња, или пратећи пут новца када се ради о очигледним пословним путањама. На пример, одређени број шпијунских програма које је дистрибуирала компанија Claria су познати као Gator. Слично томе, програми који се често инсталирају заједно могу бити описани као делови истог шпијунског програм пакета, па чак и ако функционишу одвојено. -CoolWebSearch, је група програма који користи недостатке Интернет Еxплорера. Ова врста програма приказује рекламне прозорчиће, мењају пронађене садржаје у машини за претраживање и упућују хост датотеке инфицираног компјутера да усмеравају ДНС претраге ка тим страницама -Zango (некада 180 Solutions) преносе детаљне информације оглашивачима у вези wеб страница које корисници посећују. Такође усмерава ХТТП захтеве за огласе филијал а којима се приступа са Wеб странице, тако да оглашивачи праве нел егалну зараду за компанију 180 Солутионс -Movieland такође познат као Moviepass.tv или popcorn.net, је сервис за преузимање филмова на који су се жалиле хиљаде њих Федералном министарству за трговину (ФТЦ) у САД, канцеларији тужилаштва у Вашингтону, Пословном бироу, и другима тврдећи да су били преплављени рекламним прозорчићима и захтевима за плаћањем. FTC је прихватило жалбу за Мовиеланд и једанаест других, и оптужио их за превару на националном нивоу у циљу изнуде новца од потрошача. Потрошачи су се жалили да да је софтвер често отварао превелике рекламне прозоре који се нису могли затварати или смањивати уз пуштање музике која је трајала скоро 1 минут, и тражили плаћање од најмање 29.95 долара да прекину са својим појављивањем. При овом су тврдили да су потрошачи потписали за слоб одну тродневну пробу али нису отказали своје чланство прије но што је пробни период прошао те да су стога обавезни да плате. - 31 -
  • 30. 6.8 Законска регулатива у вези шпијунског софтвера Неовлаштен приступ неком компјутеру је незаконит према казненом праву. Тако је свуда у свету па и код нас. Обзиром да власници инфицираних компјутера генерално тврде да они никада нису дали сагласност за једну такву инсталацију, те се стога може закључити да се овде ради о случају кршења казненог права. Одредбе овог закона су већ примењиване на творце неких других врста малициозних софтвера, а посебно вируса. Међутим, мало је твораца шпијунских програма процесуирано, а многи од њих раде отворено као у оквирима строго законског пословања. Произвођачи шпијунског програма тврде супротно жалбама корисника, да су корисници дали њихову сагласност за инсталацију. Шпијунски програм који је инсталиран поред неке купљене апликације се може наћи у уговору који онај ко инсталира програм потписује. Многи купци по навици једноставно не читају ове одредбе, а компаније- произвођачи овог софтвера се чврсто ослањај у на њихове потврде о пристанку. Међутим, неке законске регулативе наглашавају да се једним кликом у вези слагања са понуђеним условима неможе сматрати пуноважним уговором те да се Не може схватити да је самим тим прихваћена свака понуђена ставка из њега те да стога и нема законско дејство. Неке државе у САД су донеле законе којима су неки облици шпијунских програма проглашени криминалним творевинама. Овакви закони терете свакога осим власника инфицираног компјутера,због преусмеравања и поновног подешавања wеб претраживача, праћења уписа са тастатуре или онемогућавања рада софтвера за безбедност компјутера. Оваква мера је, као прва у Европи, проведена у Холандији од стране Министарства пошта и тлекомуникација. У овом случају је прикупљена казна у износу од 1.000.000 еура ради тога што је инфицирано 22 милиона компјутера. Шпијунски програм се зове Dollar Revenue. Чланови закона који су прекршени су: 4.1 Закона о телекомуникацијама Холандије и још неки .... Будући да и у овом случају постоји поступак према жалби, казне ће бити могуће наплатити тек по правомоћности пресуде. Суд тврди да су активности које су довеле до кршења овог закона вршене илегално. Имена директора и имена компанија нису још обелодањени будући да судски процес још није приведен крају. 6.9 Екстремна варијанта спајвера-Диалер Назив овог облика злонамерног кода долази од енглеске ријечи диал, што у даном контексту значи бирати број (на телефону). Диалери нам често долазе једнаким путевима као и тројански коњи. Њихов је задатак у тренутку активирања прекинути постојећу везу с Интернетом и уз помоћ модема бирати број у некој далекој земљи како би остварили добит аутору кроз астрономске цене позива. Ако се на испису вашег телефонског рачуна појаве чудни међународни бројеви, врло вероватно имате диалер на рачунару. Уклањањем диалера обично се баве алати за уклањање нежељених апликација. Свакакопроверите постоје ли неочекивани уноси у поставкама Dial up networking ili Network connectinos. Ове програме најчешће добијете посећивањем лажних страница или страница са порнографским садржајем. Диалер је облик малициозног програма који спада међу Spyware. Корисницима који користе сталне везе(нпр. АДСЛ и сл), wireless везе или неки други облик спајања на Интернет независан о телефонском прикључку, диалер не представља никакву - 32 -
  • 31. опасност, уколико на рачунару уз то немају спојен, инсталиран и функционалан модем или ИСДН картицу. Сурфовање по сумњивим страницама као што су порнографске странице, странице са разним пиратским софтwаре-ом и крековима за пиратски софтwаре повећава се могућност да се заразите диалером јер су управо те странице у већини случајева извори разних злонамерних програма. Ако је диалер поставио свој број обично се тај број састоји од више знаменки које обично почињу са 00, те ако вам је постављен број таквог облика за позивање не спајајте се на интернет прије него ли промијените тај број и скенирате рачунало с неком од програма које ћемо описати касније. Још један од начина који може помоћи при детекцији диалера ,а односи се на кориснике који користе модем за спајање на интернет је омогућити звук модема који се чује приликом спајања на Интернет. Тако се може чути да се врши спајање на интернет. Ово није поуздана метода јер неки диалери кад се инсталирају на рачунало искључе тај звук. Како већина корисника Интернета данас има квалитетне АДСЛ или бежичне пакете,овај вирус полако губи популаност,иако до пре пар година је представљао праву ноћну мору. Dialer Control је програм којим се може дозволити на које ће се бројеве рачунар спајати, а на које не. Омогућује контролу бираног броја приликом спајања на интернет и тиме открива диалере и упозорава корисника. 7.ОТКРИВАЊЕ И ОТКЛАЊАЊЕ ВИРУСА И МАЛИЦИОЗНИХ ФАЈЛОВА 7.1 Методе за откривање вируса Дијагностика са прегледом диска Дијагностика са сондирањем Диференцијална дијагностика Резидентна дијагностика Хеуристичка дијагностика ДИЈАГНОСТИКА СА ПРЕГЛЕДОМ ДИСКА –најједноставнија -анализирају сваки познати вирус а затим тражи карактеристишни низ бајтова по коме се распознаје зараженост рачунара ДИЈАГНОСТИКА СА СОНДИРАЊЕМ –темељи се на тачном познавању деловања неког вируса ДИФЕРЕНЦИЈАЛНА ДИЈАГНОСТИКА Checksum –неинфицирани делови се прво “заледе”, а затим се остали делови посматрају да би се уочиле промене које вируси праве својим деловањем РЕЗИДЕНТНА ДИЈАГНОСТИКА monitoring –превентивна метода -непрестално контролисање кључних делова рачунара и ако неки вирус покуша да нападне, спречи га ХЕУРИСТИЧКА ДИЈАГНОСТИКА –интелигентна метода -анализира извршни код сваке датотеке и у њима покушава пронаћи деструктивне операције, карактеристичне за деловање вируса - 33 -
  • 32. 7.2 Шта радити у случају инфекције? Кад се утврди да је систем инфициран не треба упадати у исхитрене и непромишљене потезе.Прво што је битно јесте начинити копије важних података,а потом помоћу антивирусног програма утврдити о каквом типу вируса се ради,и да ли се истим програмом он може уклонити.Ако то није могуће ,треба се распитати на Интернету о мануелном чишћењу инфекције,или потражити софтвер специјализован за чишћење те одређене врсте инфекције.Уколико ни описани кораци не помогну,остаје да корисник сам на неки начин утврди о ком процесу је реч.Треба напоменути да поред великог искуства које је потребно за овакве мере,решење које можда нађемо није коначно. Последња опција која је сигурна јесте форматирање заражене партиције,и реинсталација система,уз нужни бекап података,јер се овим поступко наравно садржај хард диска губи!У сваком случају ,за неке малвере потребан је заиста вискон ниво знања,информација а посебно широко искуство . При избору антималвер алата потребно је обратити пажњу на репутацију фирме и иксуства других људи са датим алатом. 7.3 Антивирус софтвер Иако је превентива у заштити од вируса ипак најбитнији корак , важно је бити спреман и на друге солуције,тј.шта ако се вирус ипак појави (јер круцијална је чињеница да ПОТПУНЕ ЗАШТИТЕ НЕМА). Данас постоје многе велике антивирус компаније које раде на сузбијању претњи безбедности и приватности рачунарских система. Улога антивирусног софтвера је да у случају препознавања вирусног кода у рачунару покуша да стопира и онемогући деловање вируса. Антивируси то раде на следећи начин- сваки антивирус има своју ткзв. базу отисака или дефиниција познатих вируса,коју касније користи у сврхе поређења постојећег отиска у бази са фајловима у компјутеру.У случају да се отисак у бази поклопи са скенираним фајлом,антивирусни софтвер овај фајл сматра зараженим и тада следе поступци уклањања вирусом зараженог фајла са хард диска. Неки антивирусни алати нуде и хеуристичке методе за препознавање вируса-покушавају да препознају вирусе по њиховом понашању. 7.4 Антишпијунски програми Ова класа софтвера штити од спајвера,тројанаца,црва и свих других напасника Пионир у антишпијунским програмима био је OptOut од Стива Гипсона, и од тада се овакви алати масовно развијају. Анти-шпијунски програми се могу борити против шпијунских програма на два начина: 1. Могу да обезбеде заштиту у реалном времену против инсталације шпијунских софтвера на корисничком компјутеру. Овај вид заштите се обавља на исти начин као и анти-вирус заштита са тим да анти-шпијунски софтвер скенира сва долазећа документа са мреже и проверава да ли имају шпијунски софтвер и блокирају све претње које би могле доћ и са те стране. 2. Анти-шпијунски софтвери могу самостално да се користе за откривање и уклањање шпијунских софтвера који су већ инсталирани на компјутеру. Овај тип заштите од шпијунских програма је, наравно, много лакше користити и зато су они много популарнији. Ова заштита од шпијунских софтвера може да се обавља недељно, дневно или месечним скенирањем компјутера да би се открио и уклонио са компјутера. Овај тип анти-шпијунског програма скенира садржаје у регистру, датотекама оперативног система и инсталираним програмима на компјутеру и сачињавајући списак свих откривених претњи које је пронашао, остављајући - 34 -
  • 33. кориснику да ли жели да их брише или сачува. Прегледајући ове садржаје упоредиће их све са списком познатих шпијунских компоненти. Заштита у реалном времену функционише исто као и истоимена вирус заштита: софтвер скенира датотеке на диску у време преузимања и блокира активност компоненти за које се зна да су део шпијунских програма. У неким случајевима може и прекинути покушаје шпијунских програма да почну са инсталирањем или модификовати подешавање претраживача. Као и већина анти-вирус софтвера, многи анти-шпијунски софтвери и алати захтевај у често ажурирање база података. Како се у оптицај пуштају нови шпијунски програми, компаније за производњу анти-шпијунских програма их проналазе и процењују, чинећи нове дефиниције које дозвољавају софтверу да пронаðу и уклоне шпијунски програм. Као резултат, анти-шпијунски софтвер је од ограничене користи без редовног извора за ажурирање. Неки продавци обезбеðују сервис ажурирања на бази претплате, док други то дају без накнаде. Ажурирања се могу инсталирати аутоматски у неко одреðено време, прије скенирања или мож е бити ураðено мануелно. Не ослањају се сви програми на дефиниције за ажурирање. Неки програми се ослањају делимично на њих(на пример многи анти-шпијунски програми као што је Windows Defender, Tea Timer и Spy Sweeper) или у потпуности (програми као што је WinPatrol) на историjску опсервацију. Они проверавају одреðене конфигурациске параметре (као што су одреðене партиције у Windows регистрима или конфигурација претраживача) и потом корисника извештавају о било каквим променама, без икакве процене или препоруке. Према томе, они се не ослањају на дефиниције за ажурирање, које би им дозволиле да примете новији шпијунски софтвер, а уз то не нуде никакве предлоге који би послужили као водич. Кориснику је остављено да утврди шта је то урадио и да ли је дотична конфигурација валидна. Ако шпијунски програм није блокиран и на неки начин се ипак инсталира, он може да се одупре будућим покушајима његовог прекида активности или деинсталирања. Неки програми раде у паровима: када скенер анти-шпијунског програма (или корисник) прекине процес рада шпијунских програма, други успоставља поновно покретање програма. Слично овом, неки шпијунски програми ће аутоматски открити покушаје уклањања података у регистру и аутоматски их опет додати на исто место. Углавном рестартовање у сигурном моду омогућава анти-шпијунском програму већу могућност за уклањање отпорног шпијунских програма. Уништавање процесног дрвета може такоðе довести до резултата. 7.5 Најпознатији антивирус и антималвер алати на тржишту Windows Live Onecare представља најновији производ компаније Мајкрософт. Појавио се 2006. Као бета верзија на захтев великог броја корисника.На тржишту се код нас појавио овде године и већ је почео да задаје главобоље творцима малициозног софтвера ..Квалитет и ниска цена,као и чињеница да је Мајкрософт ипак онај који најбоље познаје Windows,познаје себе,проузроковали су да је овај алат постао изузетно популаран. Trend Micro PC Cillin многи сматрају да овај алат заслужује много бољу рекламу него ђто је саада.Велики избор опција,аутоматско скенирање,превентива и многе друге опције чине овај програм садржајним и квалитетним. - 35 -
  • 34. Norton antivirus 2008 је најбољи антивирус који се може наћи код нас,из више разлога.Не узима меморију,не успорава рад компјутера,док скенира скоро и да се не примећује,имса најбољи емаил скенер,нуди квалитетан и поздан back up.Скупљи је од осталих програма. Ваља још споменути и Kaspersky antivirus,NOD32,Avast,AVG које нам светско тржиште и велики број корисника налаже као најпоузданије. Међутим,ако оставимо на страну теорију и у први план истакнемо праксу и искуства великог броја корисника долазимо до следећег закључка : -Касперски антивирус корисници налазе као квалитетан и свеобухватан међутим велики број жалби упућен је по питању великог заузећа ресурса на компјутеру и успоравања система и квалитетног рада,те неки корисници ипак избегавају овај софтвер. -Mccafee,PcCillin, Panda, и многи слични програми потпуно су заобиђени код већине напредних корисника -НОД32 , компаније Есет из Холандије, поприлично је заступљен, и већина га сматра за најквалитетнијег на просторима – међутим цена оригинал софтвера натерала је многе обичне кориснике да одустану od коришћења -Аvast – Компанија Алвил нуди корисницима поптуно бесплатне верзије овог алата за преузимање. Стала ажурирања дефиниција, firewall, стални скенер су само неке од напредних опција које нуди овај алат Ипак остаје препорука да се одлучите између Нортона и Нод32, евентуално Касперског, уз све то, потребно је имати квалитетан антитројан tj. антишпијунски алат. Malwarebytes antimalware представља заиста свеобухватан и квалитетан програм у заштити од тројанаца,црва,шпијунских кодова. Квалитетан графички интерфејс,мноштво опција,ниска цена разлог су да поседујете овај програм на рачунару. Овај софтвер се у пракси приказао ка изузетно учинковит и садржајан,лако проналази и отклања велике инфекције.реба додати и изузетан resident protection,стална заштиту и блокирање малициозних ИП адреса. Друга евентуална опција био био Spybot Search & Destroy ,који може да се похвали свакодневним допунама дефиниција,и заиста већина малвера које има ефекте на систем биће уклоњена...Програм садржи и Real time заштиту,контролу покретања процеса итд. Не треба никако заобићи и заборавити AVG, Ad-Aware ,Counterspy, PCdoctor, Spywaredoctor, HijackThis, SpySweeper kompanije–Webroot, Xoftspy. Већину непопуларних и непознатих антималвер алата ипак треба заобићи због могућности преваре,скривених малвера,па на крају и лошег и неквалитетног самог програма. 7.6 Епидемија лажних анти-шпијунских софтвера Велика заблуда последњих година влада код обичних корисника. Наиме, корисници чији рачунар је заражен неком врстом шпијунског програма па чак и тројанцем,добијају изненадне понуде за скидање антималвер алата,поруке да је рачунар заражен и треба хитно скенирање итд. Један део тих корисника у неискуству послуша савете ''добронамерног 'али непознатог пошиљаоца ове поруке,и деси се катастрофа још већа него што је била. Рачунар бива још више заражен,и сада већ отказује и минималну послушност. О чему се заиста ради? - 36 -
  • 35. Mалициозни програмери су у оптицај пустили велики број анти-шпијунских програма, и широко раширили употребу wеб банер додатака који панично упоз оравају кориснике да су њихови компјутери инфицирани са шпијунским програмом, при чему их упућујући да купе програм који ће уклонити те наводне шпијунске програме, или што је још горе, могу додати још више ових програма поред оних постојећих. Недавна епидемија лажних анти-вирус производа је забринула. Овакви производи углавном себе обележе као анти-шпијунски програм, анти-вирус или чистачи регистара. Зову се лажни софтвери(енгл. rogue). Ово су познати шпијунски софтвери представљени као анти-шпијунски софтвер: AntiVirus Gold Špijunski program Quakev AV System Care Spydawn ContraVirus Spylocked Disk Knight SpyShredder Errorsafe AKA System doctor) SysProtect MalwareAlarm Spy Range Spy Sheriff MagicAntiSpy Spy Wiper Registrycleanerxp.com PCSecuresystem UltimateCleaner Pest Trap Virus Protect Pro (3.1 and other number.number) PSGuard WinAntiVirus Pro 2006 SecurePCcleaner WinFixer SpyAxe WorldAntiSpy Your Privacy Guard 7.7 Shareware програми који садрже шпијунски програм Ово су називи неких од програма који у свом пакету садрже некакав шпијунски софтвер : Bonzi Buddy Dope Wars ErrorGuard Grokster Kazaa Morpheus RadLight WeatherBug EDonkey2000 Sony ExtendedCopyProtection укључује инсталацију шпијунских програма са аудио ЦД-а кроз његов ауторaн. - 37 -
  • 36. 8. FIREWALL- ПРИНЦИП ЗАШТИТЕ ''ВАТРЕНИМ ЗИДОМ'' 8.1 Основни појмови Конектовање на Интернет без ватреног зида је скоро исто као остављање клучева у аутомобил у са откључаним вратима док одете до продавнице. Премда ћете можда успети да уðете и изаðете напоље пре него злонамеран то примети, може десити да да он то успешно искористи. Заштитни зид може да вам помогне у одбрани компјутера од ових и других безбедносних напада. Персонални ватрени зид спада у основне начине заштите од малициозних програма, и ништа мање није важан од анти-вирусних и анти-шпијунских програма. Принцип рада персоналног ватреног зида је да за сваки програм који хоће да успостави Интернет комуникацију бива пресретнут од стране ватреног зида, када корисник може да одобри или забрани успостављање везе. На пример, ако смо инсталирали неки Интернет сервер на оперативни систем, као што је рецимо ФТП сервер, ватрени зид ће при првом покушају комуникације спољњег клијента са сервером упитати корисника да ли тај тип комуникације дозвољава или не, само једном или перманентно. На тај начин, могу се онемогућити многи малициозни програми који отварају пролаз за долазећи саобраћај. При сваком покушају програма инсталираног на систему да успостави комуникацију са неким Интернет сервером, ватрени зид ће такоðе упитати корисника за доз волу. 8.2 Софтверски заштитни зидови Софтверски заштитни зидови су добар избор за појединачне компјутере, а уз то функционишу добро са верзијама Wиндоwс 98,Wиндоwс МЕ и Wиндоwс 2000. (Wиндоwс XП има уграðен заштитни зид, тако да није потребно инсталирати додатни заштитни зид.). Софтверске заштитне зидове можете набавити од других софтверских компанија. Wиндоwс заштитни зид (само у Wиндоwс XП Сервисном пакету 2) Уколико на компјутеру постоји Wиндоwс XП Сервисни пакет 2 (СП2) , тада већ постоји инсталиран и по оригиналном подешавању укључен заштитни зид. Уколико постоји Wиндоwс XП, а корисник не жели да преузме Сервисни пакет 2, он и даље може да приступи заштитном зиду Интернет везе (ИЦФ) који је уграðен у Wиндоwс XП, једино мора да га укључи. Напомена: Wиндоwс заштитни зид и заштитни зид интернет везе нису доступни као појединачни пакети. Такоðе нису доступни ни з а друге оперативне системе или верзије система Wиндоwс осим Wиндоwса XП. Поред тога, потребно је узмети у обзир и следећа питања: 8.3 Неки од ватрених зидова на тржишту ЗонеАларм, ЗонеАларм Про је веома пријатељски расположен према корисницима. Упозорења су описна. Иако није најбољи за професионалце, пошто изгледа веома једноставно, за почетнике, нема бољег програма. - 38 -
  • 37. ЗонеАларм је једини ватрени зид који осим покушаја продора у ваш компјутер посматра и програме који шаљу информације са вашег компјутера. То је веома важно у случају постојања тројанског коња. Сваки програм ће бити блокиран ако покуша да се споји са Интернетом. Тад корисник може одлучити да ли ће дозволити везу,да ли ће дозволити само једном или никада, да се тај програм споји са Интернетом. Касније се он може предомислити и променути подешавање. Такоðе, ЗонеАларм има дугме које може да тренутно блокира сваку везу са Интернетом. 9. ЗАНИМЉИВОСТИ 9.1 Вирус: Code9811 (прича корисника) Након више од три године свакодневне употребе мог Маcintosh компјутера, и преузимања једног до десетак датотека са интернета сваког дана, изненада сам веома озбиљно инфицирао мој компјутер са вирусом: Данима прије но што се је мој компјутер почео понашати чудно: добијао сам error поруке Out of memory када сам желео да покренем апликације. Видео сам на екрану у пољу за наслове да ми се приказују чудни називи апликација као DPEVLZREEYО или BMQТКЕCNLI. Случајно, користећи Apple програм ResEdit, нашао сам копију програма у његовом директоријуму са чудним насловом као онима већ наведеним. Мало ме је то узнемирило али ускоро више нисам о том размишљао. Урадио сам све што је било потребно а што сам знао да би отклонио проблеме са мог компјутера: уредио сам десктоп. Укључивао сам без икаквих екстензија.Проблем није нестајао. Потом сам поново форматирао мој тврди диск и поново инсталирао софтвер. Проблем је и даље остао: Out of memory као да је покушавао да покрене неке апликације, а онда тај другачији звук који је мој MAC правио: звучало је као да је машина цело време заузета са нечим. Био је то веома тих и ритмичан звук. На крају сам помислио да заправо ја имам проблем са хардвером. Да ли је то можда неки контакт ослабио? Отворио сам компјутер и прегледао да се нешто није олабавило али нисам нашао ништа слично. Већ сам почео да се бринем и да размишљам о куповини новог комјутера. Следећи дан, у понедељак ујутро у децембру 1998 пре нeго што сам пошао на посао, вирус на мом комјутеру се демаскирао:одједном ми се забелио екран, а потом је гомила црних црва са жутим главама допузала са ивица мог десктопа ка средини екрана као да једу десктоп. Потом се појавила порука : “You have been hacked by Praetorians”. На крају ове представе некакав црвени “Pi” сигнал се је појавио насред екрана, са црвљим главама сличним лоптицама које су одскакивале у неком простору. Био сам сретан јер ми је сада било лакше. Знао сам да је проблем софтверске природе и нисам морао да купујем нови компјутер. Када сам о овом проблему информисао Susan Lesch у Mac virus com сазнао сам да је ово вирус који напада Macintosh и да се зове Code 9811. Пријавио га је компанији Symantec швеђанин Tommy Sandstrom. Решење за отклањање овог вируса је пружио Symantec у својим дефиницијама za Symantec antivirus и Нортон АнтиВирус програме у 1998. Када сам преузео пробну верзију Нортон АнтиВирус програма и са њим скенирао старе компресоване резервне копије мог целог тврдог диска, могао сам да нађем копије овог вируса. Овај вирус је пласиран 7.августа 1998.године, а када сам схватио да се ради о вирусној инфекцији већ је била средина децембра исте године. Ово показује да се вирус умножавао веома полако у неком одређеном времену а потом се појавио извршавајући свој код пуном снагом. Било ко добитком неке чудне поруке када покушава да покрене неке апликације на MacIntosh комјутерима би требало да посумња у вирус Code 9811. - 39 -
  • 38. 9.3 Забележене слике при инфекцијама малвером - 40 -
  • 39. Велики пад Пентагона Британски тинејџер који у својој школи једва извлачио позитивне оцене, хаковао је Америчку војну базу , системе пројектила, системе засноване на вештачкој интелигенцији и операционе планове. Ричард Прајс (Richard Pryce) , имао је само 16 година када је хаковао највеће системе војске и одбране Сједињених Држава. Под псеудонимом Datastream Cowboy, Прајс, сада пунолетан, постао је предмет расправа Сената, где је био оптужен за много већи злочин него што би и сам КГБ могао да направи. Такође је био описан као "Претња број један Америчкој безбедности’’. Али његов бранилац инсистирао је да је то била "школска смицалица’’ и да је тинејџер имао само 6 месеци искуства у раду са компјутерима . Адвокати који су радили на овом случају заиста су били убеђени како ово није никаква велика провала већ само показатељ колико је америчка безбедност слаба и пуна рупа. Прво што су Прајсови сазнали у вези активности њиховог сина било је када су се чланови Скотланд Јард Компјутерског крими тима појавили у Колиндејлу у њиховом дому, да га ухапсе. Прајс је планирао још да провали и у Grifiss Air Force Base u New York-u где је како кажу даунлоудовао мартеријал о вештачкој интелигенцији и ратним и плановима за борбе. Провалио је такође у Missile Company у Калифорнији. Трошкови су били поприлични. Колико је Пентагон сузбио ово, довољно говори чињеница да је дечак након овог догађаја престао да се бави компјутерима који су му били жеља број 1, и почео да студира музику. - 41 -
  • 40. 10. ЗАКЉУЧНА РАЗМАТРАЊА Целокупна проблематика малициозног софтвера налаже да је то реалан и постојан проблем рачунарских технологија, а структура и перспектива да он вероватно никада неће бити искорењен, те једино што остаје је едукација недовољно образованих корисника. Посебан проблем ова врста напасти ће правити оним корисницима који једноставно нису у прилици да стекну ни минимална сазнања у овој области. Како је 21.век епоха када је Интернет релативно заменио сва остала средства обавештавања, комуникације и информисања, и постао неизоставни део људских живота, све ће чешћи и чешћи бити случајеви угрожене безбедности истих корисника. Малвер за сада неким корисницима не причињава ни мало бригу, међутим са напретком технологије, интернет куповине и трансакција, буде ли имало угрожена финансијска ситуација корисника директним путем (каритце итд. ) могло би да дође до освешћења тог дела корисника те схватања колику штету може да начини малициозни код на рачунарима. Као тренутно најугроженији налазе се корисници Виндоуз платформи, иако историјат каже да су велике штете претрпели и корисници других платформи. Разлог је јасан - они који креирају ову врсту софтвера, креирају је за оперативни систем који је тренутно најзастуљенији. Међутим решење никако не треба тражити у промени оперативног система, под претпоставком да и тај, такве особе неће злоупотребити. Овај рад је покушај да се уз што више искуствених примера, фотографија и визуелних примера, корисници заинтересују за ову област, и едукују макар основним принципима одбране од малвера. Садржај је примерен свим нивоима корисника - од полазника па до искуснијих корисника, сви ће моћи да нађу корисне информације које ће у будућности моћи практично да се примене. Док многи данашњи аутори текстова о малициозноим ризицима и нападима , углавном тежиште својих радова стављају на историјат и сам развој , циљ овог рада је да уз кратак историјат да информације о тренутно најактивнијим и најопаснијим моделима напада, као и информише о моделима заштите од истих. Како се рачунарска форензичка анализа узета у овом , поменутом обиму, бави свим врстама угрожавања безбедности, треба навести да су честе и људске и грешке у раду, које могу да проузрокују проблеме већих обима, те нису малвери једни наметници. Криминал изведен уз помоћ рачунара или на њима, такође се све више развија, крађе и деструкције су приметне, па макар настале као продукт несугласица главних људи у компанијама за производњу хардвера/софтвера. -Потенцијална решења питања малвера -Промена казнене политике и казненог прогона Творци малициозног кода одлазе у земље где још не постоје законске регулативе о прогонима у вези ове врсте криминала. Захваљујући бирократској спорости и несвесности законодаваца у појединим земљама о новом информатичком добу те могућностима и штетом коју могу да начине криминалци за очекивати је да до усаглашавања казнене политике на глобалном нивоу неће доћи у скором року. Стога је важно наметнути покретање овог питања на међународним нивоима. -Редовно коришћење квалитетног АВ и АМ 1 програма уз дневна ажурирања и прављења бекап копија,редовно информисање о новим моделима угрожавања безбедности, редовна контрола и скенирање на малициозне фајлове -Едукација и информисање корисника - 42 -
  • 41. Литература 1) Д. Плескоњић, Н. Мачек, Б. Ђорђевић, М. Царић: Сигурност рачунарских система и мрежа, Микро књига, Београд, 2007., ИСБН: 978-86-7555-305-2, књига – уџбеник 2) Д.Плескоњић, Б.Ђорђевић, Н.Мачек, М.Царић: Сигурност рачунарских мрежа, ВЕТШ, 2006. 3) William Stallings, Cryptography and Network Security , Prentice Hall, 1998. Bruce Schneier, Applied Cryptography, John Wiley 4) Жељко Марчићевић, "Дистантно образовање у виртуелним системима", Зборник радова, Глобал Едуцатион Нетwорк, 2005. 5) Жељко Марчићевић, "Интернет, директан маркетинг, промоција и претрага едукативних садржаја", Зборник радова, Глобал Едуцатион Нетwорк, 2005. 6) Жељко Марчићевић, "Учење рачунарско информатичких садржаја на даљину". ИX Међународна научна конференција "Информатика у образовању, квалитет и нове информационе технологије", Зрењанин, 20-21. март 2000 година. Зборник радова, стр. 174-182. 7) Жељко Марчићевић Типови рачунара и безбедност рачунарских система 8) Др Драган Солеша, ''Рачунарски вируси'', скрипта Интернет Линкови http://www.news.com.au/technology/story/0,25642,24684901-5014239,00.html http://www.viruslist.com - 43 -

×