Boris Sviličić - PREPOZNVANJE I KLASIFIKACIJA SIGURNOSNIH RIZIKA RAČUNALNIH SUSTAVA

SVEUČILIŠTE U ZAGREBU FAKULTET ELEKTROTEHNIKE I RAČUNARSTVA

Boris Sviličić

PREPOZNAVANJE I KLASIFIKACIJA SIGURNOSNIH RIZIKA RAČUNALNIH SUSTAVA

Magistarski rad

Zagreb, 2003.

Magistarski rad izrađen je u Zavodu za elektroničke sustave i obradbu informacija

Fakulteta elektrotehnike i računarstva, Sveučilište u Zagrebu

Mentor: Prof. dr. sc. Branko Jeren

Magistarski rad ima 103 stranice

Rad br.: __________

Povjerenstvo za ocjenu magistarskog rada:

1. Prof. dr. dc. Mario Žagar - predsjednik

2. Prof. dr. dc. Branko Jeren - mentor

3. Prof. emer. dr. dc. Boris Aurer – Fakultet organizacije i informatike Varaždin

Povjerenstvo za obranu magistarskog rada:

1. Prof. dr. dc. Mario Žagar - predsjednik

2. Prof. dr. dc. Branko Jeren - mentor

3. Prof. emer. dr. dc. Boris Aurer – Fakultet organizacije i informatike Varaždin

Datum obrane: 25.03.2003.

Zahvaljujem se na stručnoj pomoći

mentoru Branku Jerenu, Predragu

Paleu, Bojanu Ždrnji te kolegama

iz PBZ-a Krešimiru Aleriću i Andriji

Rimcu. Posebno se zahvaljujem

roditeljima, bratu i djevojci na

podršci i razumijevanju.

iii

Prepoznavanje i klasifikacija sigurnosnih rizika računalnih sustava

Sadržaj

1. UVOD ................................................................................................................. 1

2. SIGURNOSNI RIZICI RAČUNALNIH SUSTAVA............................................... 3 2. 1. Uzroci sigurnosnih rizika.............................................................................. 4 2. 2. Analiza sigurnosnih rizika ............................................................................ 6

3. TERMINOLOGIJA SIGURNOSNIH INCIDENATA ............................................ 8 3. 1. Sigurnosni incident....................................................................................... 9

3. 1. 1. Motivacija napadača ................................................................................ 9 3. 1. 2. Napadači ................................................................................................ 10 3. 1. 3. Svrha računalnog napada...................................................................... 11

3. 2. Računalni napad.......................................................................................... 12 3. 2. 1. Alat ......................................................................................................... 12 3. 2. 2. Ranjivost ................................................................................................ 13 3. 2. 3. Pristup.................................................................................................... 14 3. 2. 4. Radnja.................................................................................................... 14 3. 2. 5. Meta ....................................................................................................... 15 3. 2. 6. Rezultat .................................................................................................. 16 3. 2. 7. Terminologija računalnih napada........................................................... 17

4. TEHNIKE RAČUNALNIH NAPADA................................................................. 19 4. 1. Neovlašteni upadi........................................................................................ 19

4. 1. 1. Penetracije u računalne sustave ............................................................ 19 4. 1. 2. Zlonamjerni programi ............................................................................. 20 4. 1. 3. Zlonamjerni HTML.................................................................................. 24

4. 2. Napadi na raspoloživost resursa ............................................................... 26 4. 2. 1. Uništenje sistemskih podataka............................................................... 27 4. 2. 2. Degradacija procesa .............................................................................. 28 4. 2. 3. Degradacija pohrane.............................................................................. 29 4. 2. 4. Isključenje resursa sustava .................................................................... 29

4. 3. Krađa informacija ........................................................................................ 30 4. 3. 1. Pretraživači ............................................................................................ 30 4. 3. 2. Prisluškivanje mrežnog prometa ............................................................ 32

4. 4. Napadi na zaporke....................................................................................... 34 4. 4. 1. Pogađanje zaporki ................................................................................. 34 4. 4. 2. Nasilna prijava za rad............................................................................. 34 4. 4. 3. Provaljivanje zaporki .............................................................................. 35 4. 4. 4. Prisluškivanje ......................................................................................... 35

4. 5. TCP/IP napadi lažnim predstavljanjem...................................................... 36 4. 5. 1. Napadi na IP protokol............................................................................. 36 4. 5. 2. Napadi na TCP protokol......................................................................... 38

4. 6. Socijalni inženjering.................................................................................... 41 4. 6. 1. Socijalni inženjering baziran na ljudskom faktoru .................................. 41 4. 6. 2. Računalni socijalni inženjering ............................................................... 42

5. KLASIFIKACIJA SIGURNOSNIH RIZIKA ....................................................... 45 5. 1. Motivacija ..................................................................................................... 45

iv


5. 2. Napadači ...................................................................................................... 46 5. 3. Ranjivost ...................................................................................................... 46

5. 3. 1. Logičke pogreške................................................................................... 47 5. 3. 2. Slabosti računala.................................................................................... 47 5. 3. 3. Propusti sigurnosne politike ................................................................... 49

5. 4. Pristup.......................................................................................................... 49 5. 4. 1. Neovlašteni pristup................................................................................. 49 5. 4. 2. Neovlašteno korištenje........................................................................... 50

5. 5. Mete napada................................................................................................. 50 5. 5. 1. Logičke mete napada............................................................................. 51 5. 5. 2. Fizičke mete napada.............................................................................. 52

5. 6. Rezultati ....................................................................................................... 52 5. 7. Svrha ............................................................................................................ 53 5. 8. Model klasifikacije sigurnosnih rizika ....................................................... 53

6. UPRAVLJANJE SIGURNOSNIM RIZICIMA.................................................... 56 6. 1. Sigurnosna politika ..................................................................................... 56

6. 1. 1. Tko bi trebao biti uključen u kreiranje sigurnosne politike...................... 57 6. 1. 2. Djelotvorna sigurnosna politika .............................................................. 57 6. 1. 3. Fleksibilnost sigurnosne politike............................................................. 58

6. 2. Predstavljanje .............................................................................................. 59 6. 3. Ovlaštenja .................................................................................................... 60 6. 4. Fizička sigurnost i sigurnost radne okoline ............................................. 62 6. 5. Snimka stanja sustava................................................................................ 63

6. 5. 1. Knjiga praćenja događaja....................................................................... 63 6. 5. 2. Redovite kontrole ................................................................................... 65

6. 6. Podnošenje ispada sustava ....................................................................... 67 6. 6. 1. Diskovni podsustav (RAID) .................................................................... 68 6. 6. 2. Zaštita napajanja.................................................................................... 70 6. 6. 3. Sparivanje računala ............................................................................... 70 6. 6. 4. Arhiviranje podataka .............................................................................. 71

6. 7. Kriptografska zaštita podataka .................................................................. 72 6. 7. 1. Kriptiranje tajnim ključevima................................................................... 73 6. 7. 2. Kriptiranje javnim ključevima.................................................................. 73

6. 8. Očuvanje privatnosti računalnog sustava ................................................ 74 6. 8. 1. Paketno filtriranje ................................................................................... 75 6. 8. 2. Maskiranje mrežnih adresa .................................................................... 77 6. 8. 3. Proxy servis............................................................................................ 79 6. 8. 4. Virtualne privatne mreže ........................................................................ 80 6. 8. 5. Kriptirana autentifikacija ......................................................................... 82

6. 9. Otkrivanje zlonamjernog kôda................................................................... 82 6. 9. 1. Tehnike otkrivanja .................................................................................. 82

6. 10. Detekcija neovlaštenih upada ................................................................ 85 6. 10. 1. Potreba za IDS alatima....................................................................... 85 6. 10. 2. Implementacija IDS alata.................................................................... 86 6. 10. 3. Detekcija potpisima ............................................................................ 86 6. 10. 4. Detektiranje statističkim anomalijama ................................................ 87 6. 10. 5. Odgovor na napade............................................................................ 88

v


7. PREPOZNAVANJE ZNAKOVA SIGURNOSNIH INCIDENATA...................... 89 7. 1. Priprema sustava za prepoznavanje incidenata....................................... 90

7. 1. 1. Uspostavljanje politike i procedura......................................................... 90 7. 1. 2. Određivanje karakterističnih podataka sustava...................................... 90

7. 2. Integritet sustava za prepoznavanje neovlaštenih aktivnosti................. 91 7. 3. Nadgledanje i kontrola aktivnosti .............................................................. 91

7. 3. 1. Nadgledanje i kontrola aktivnosti na sustavu ......................................... 92 7. 3. 2. Nadgledanje i kontrola mrežnih aktivnosti.............................................. 92 7. 3. 3. Nadgledanje i kontrola datoteka i direktorija .......................................... 93

7. 4. Fizičke forme neovlaštenih aktivnosti....................................................... 94 7. 4. 1. Istraživanje neovlaštenog sklopovlja priključenog na sustav ................. 94 7. 4. 2. Nadgledanje fizičkih resursa zbog znakova neovlaštenog pristupa....... 95

7. 5. Praćenje događanja .................................................................................... 95 7. 5. 1. Pregledavanje izvještaja korisnika i vanjskih kontakta........................... 95 7. 5. 2. Poduzimanje odgovarajućih akcija......................................................... 96

8. ZAKLJUČAK.................................................................................................... 98

SAŽETAK ................................................................................................................ 99

SUMMARY............................................................................................................. 100

POPIS LITERATURE ............................................................................................ 101

ŽIVOTOPIS............................................................................................................ 103

vi

Uvod

1. Uvod Sve većim oslanjanjem društva na računalne sustave raste svijest o njihovoj važnosti. Sigurnost računalnih sustava nalaže da računalni sustav ispunjava svoju ulogu kao što je očekivano u svezi zaštite resursa sustava. Stoga je sigurnost računalnog sustava jedan od najvažnijih aspekata poslovanja organizacija koje svoje poslovanje zasnivaju na računalnim sustavima. U poglavlju "Sigurnosni rizici računalnih sustava" dana je definicija sigurnosti računalnih sustava i sigurnosnih rizika, kategorizirani su i opisani uzroci rizika te je objašnjena važnost analize rizika. Velik broj pojedinaca i organizacija redovito sakuplja te javno objavljuje informacije vezane za sigurnost računalnih sustava. Većina se informacija vezanih za sigurnost računalnih sustava općenito ne može uspješno uspoređivati i razmjenjivati. Razlog tome je da se sveopći jezik (terminologija) na području sigurnosti računalnih sustava još uvijek nije razvio. Ovo je ozbiljan problem, a potreba za njegovim rješavanjem sve je veća. U poglavlju "Terminologija sigurnosnih incidenata" razrađena je terminologija sigurnosnih incidenata računalnih sustava. Svrha ovog poglavlja nije razvoj obuhvatnog rječnika termina korištenih na području sigurnosti računalnih sustava, već definiranje minimalnog skupa vrlo važnih termina unutar strukture, indicikacijom njihovog međusobnog odnosa, a koji bi bio korišten za klasifikaciju i razumijevanje informacija o sigurnosnim incidentima računalnih sustava. Poglavljem "Tehnike računalnih napada" predstavljene su tehnike napada te su opisani osnovni principi njihova izvršenja. Pod terminom tehnike računalnog napada podrazumijevamo planski postupak poduzet od strane napadača s namjerom ugrožavanja ili narušavanja sigurnosti računalnog sustava. Svrha analize osnovnih principa djelovanja napadača jest što je to nužan preduvjet za uspješnu analizu te upravljanje sigurnosnim rizicima računalnih sustava. Klasifikacija je proces korištenja terminologije za razdjeljivanje i uređenje sveukupnog znanja određenog područja istraživanja. To je shema, program koji razdjeljuje sveukupno znanje na određenom području te definira međusobne odnose pojedinih dijelova. Univerzalni model klasifikacije sigurnosnih rizika ne postoji jer ovisi o arhitekturi računalnog sustava, implementiranoj tehnologiji, namjeni sustava itd. U poglavlju "Klasifikacija sigurnosnih rizika" predstavljen je mogući model klasifikacije, baziran na utvrđenoj terminologiji sigurnosnih incidenata. Svrha modela klasifikacije sigurnosnih rizika jest prepoznavanje potencijalnih sigurnosnih rizika određenog računalnog sustava. Također, klasifikacija je korisna pri razvoju i rješavanju zahtjeva sigurnosne politike sustava, pri razvoju novih sustava i procjenjivanju postojećih sustava, utvrđivanju relativne frekvencije neovlaštene aktivnosti itd. Zaštita sigurnosti računalnih sustava i sprječavanje eksploatacije sigurnosnih rizika nije jednostavan zadatak. Postavljanjem odgovarajućih mjera i mehanizama zaštite sigurnosti sustava upravljamo sigurnosnim rizicima s ciljem smanjenja mogućnosti njihove eksploatacije. Sigurnosne mjere i mehanizmi osiguravaju ovlaštenim korisnicima kontrolirani i nadgledani pristup resursima sustava, te neovlaštenim korisnicima fizički ili elektronički pristup istim resursima sustava onemogućavaju. U poglavlju "Upravljanje sigurnosnim rizicima" predstavljene su mjere i mehanizmi za zaštitu sigurnosti računalnih sustava. Ukoliko u računalni sustav implementiramo cjelokupne zaštitne sigurnosne mjere i mehanizme, vrlo je važno pažljivo nadgledanje sustava s ciljem prepoznavanja

1

Uvod

znakova sigurnosnih incidenata. Nadgledanje može biti komplicirano jer napadači često skrivaju svoje aktivnosti mijenjajući sustav koji ugrožavaju. Također, napad je moguće izvršiti bez upozorenja, tj. da sve izgleda kao da funkcionara normalno. Općenito, smisao sigurnosnih mjera i mehanizama jest sprječavanje neovlaštenih aktivnosti. Budući da mjere i mehanizmi prevencije nisu savršeni, postoji potreba za strategijom rukovođenja sigurnosnim incidentima, a koja uključuje pripremu, prepoznavanje i odgovor. U poglavlju "Prepoznavanje znakova sigurnosnih incidenata" predstavljen je plan procesa za pripremu i prepoznavanje znakova eksploatacije sigurnosnog rizika.

2

Sigurnosni rizici računalnih sustava

2. Sigurnosni rizici računalnih sustava Sigurnost računalnih sustava nalaže da računalni sustav ispunjava svoju ulogu kao što se očekuje u svezi zaštite resursa sustava. Da bismo to osigurali potrebno je znati koje resurse želimo zaštiti i koje karakteristike tih resursa želimo očuvati. Resursi koje želimo zaštiti jesu podaci, podaci u prijenosu i procesi, bilo na računalu ili mreži. Podatke definiramo kao prezentaciju činjenica, koncepata ili instrukcija u obliku pogodnom za komunikacije, interpretaciju ili procesiranje. Podaci mogu biti u formi datoteka pohranjenih u memoriji računala, u uređaju za pohranu podataka ili u formi podataka u prijenosu kroz medije za prijenos. Proces je u osnovi program u izvršenju. On se sastoji od izvršnog programa, programskih podataka i stoga programa, programskog brojača, pokazivača stoga i svih drugih informacija potrebnih za izvršenje programa. Ciljevi sigurnosti računalnih sustava predstavljaju očuvanje sljedećih triju međusobno odvojenih karakteristika resursa sustava:

• Povjerljivost (eng. confidentiality) Samo autorizirani, ovlašteni korisnici imaju pristup resursima.

• Cjelovitost (eng. integrity) Samo autorizirani, ovlašteni korisnici imaju mogućnost modificiranja resursa.

• Raspoloživost (eng. availability) Resursi moraju biti raspoloživi autoriziranim korisnicima kad god ih oni zatrebaju.

Sigurnosne rizike računalnih sustava definiramo kao mogućnost ugrožavanja ili narušavanja karakteristika resursa računalnih sustava, povjerljivosti, cjelovitosti i raspoloživosti [1]. Sigurnost bilo kojeg računalnog sustava trebala bi biti primjerena sigurnosnim rizicima. Od izuzetne je važnosti proces utvrđivanja kritičnih resursa sustava i odgovarajućih sigurnosnih mjera i mehanizama za zaštitu određenih karakteristika resursa sustava pri projektiranju računalnih sustava, te se bazira na analizi sigurnosnih rizika. Izraz sigurnosni rizik često se koristi s negativnom konotacijom. Posljedica kulturalnog pritiska za poricanje njegovog postojanja izlaže sigurnost računalnih sustava neželjenim iznenađenjima koja vode poteškoćama i propustima [2]. Negativna percepcija sigurnosnih rizika prouzrokuje da članovi tima za sigurnost računalnih sustava nerado priopćavaju informacije o sigurnosnim incidentima. U pojedinim se okruženjima osoba koja izvještava o novootkrivenim sigurnosnim rizicima smatra izazivačem nereda, pa se reakcija na novi sigurnosni rizik usmjerava na osobu, umjesto na sam sigurnosni rizik. U ovakvim okolnostima ljudi općenito izbjegavaju slobodno izvještavati o sigurnosnim rizicima. Informacije vezane za rizik selektiraju se i uljepšavaju kako ne bi bile previše negativne za očekivanja ostalih članova tima. U praksi su sigurnosni rizici neminovni, no to ne isključuje mogućnost prepoznavanja i upravljanja rizicima. Upravljanje sigurnosnim rizicima omogućava nam svođenje potencijalnih negativnih posljedica na najmanju moguću mjeru, te ostavljanje mogućnost za kreiranje novog i/ili boljeg računalnog sustava.

3


2. 1. Uzroci sigurnosnih rizika Da bi uspješno prepoznali te upravljali sigurnosnim rizicima, nužno je poznavati prijetnje (eng. threat) čijim bi se ostvarenjima mogla ugroziti sigurnost računalnog sustava. Poznavanje uzroka sigurnosnih incidenata omogućuje nam upravljanje rizicima, svodeći mogućnost narušavanja sigurnosti sustava na najnižu razinu. Prijetnje očuvanju sigurnosti računalnih sustava, tj. uzroke sigurnosnih rizika računalnih sustava možemo svrstati u kategorije kako je prikazano na slici 2. 1. 1. [3].

Prijetnje sigurnostiračunalnih sustava

Prirodnekatastrofe Ljudski faktor

NezlonamjerniZlonamjerni

Unutrašnjinapadači

Vanjskinapadači

Vatra

Neznanje,neupućenost

Vjetar

Voda

Zemljotres

Nesreće

Slika 2. 1. 1. Prijetnje očuvanju sigurnosti računalnih sustava

Prirodne katastrofe predstavljaju skupinu prijetnji očuvanju sigurnosti računalnih sustava te obuhvaćaju vatru, vjetar, vodu, zemljotrese i nesreće. Svaki pojedini element ove skupine prijetnji potrebno je razmatrati neovisno od drugih budući da je njihova međusobna povezanost slaba. Osnovna je karakteristika ovih prijetnji da su teško predvidljive. Prijetnje sigurnosti računalnih sustava ove skupine jesu:

• Vatra Vatra, odnosno požari predstavljaju prijetnje kod kojih je neposredni učinak lako prepoznatljiv i izračunljiv. U velikom broju slučajeva vatra je bila uzročnik narušavanja sigurnosti računalnih sustava. Postoje i dokumentirani slučajevi iz povijesti otvaranja polica osiguranja kod osiguravajućih društava upravo za ovu vrst događaja.

• Vjetar Vjerojatnost narušavanja sigurnosti računalnih sustava vjetrom uglavnom ovisi o geografskim uvjetima. Određene lokacije više su izložene prirodnom katastrofama prouzrokovanim vjetrom od drugih. I u ovom slučaju postoje

4


dokumentirani slučajevi otvaranja polica osiguranja kod osiguravajućih društava za ovu vrst događaja.

• Voda Neposredan učinak narušavanja sigurnosti računalnih sustava vodom lako je izračunljiv, a postoje i dokumentirani slučajevi otvaranja polica osiguranja za ovu vrst događaja.

• Zemljotres Vjerojatnost narušavanja sigurnosti računalnih sustava zemljotresima također ovise o geografskim uvjetima te, i u ovom slučaju, postoje dokumentirani slučajevi iz povijesti otvaranja polica osiguranja kod osiguravajućih društava za ovu vrst događaja.

• Nesreće Prijetnje sigurnosti računalnih sustava koje nazivamo nesrećama, odnosno nesretnim događajima, vrlo su različite od ostalih kategorija ove skupine prijetnji, kod kojih je pogođenost, tj. mogućnost eksploatacije prijetnji uglavnom ovisi o smještaju i uvjetima okoline u kojoj se nalazi računalni sustav. Razlika koja odvaja ovu kategoriju prijetnji od zlonamjernih prijetnji jest izostanak, tj. nepostojanje zlonamjernog predumišljaja.

Postoji mogućnost da više od jedne kategorije prijetnji iz skupne prirodne katastrofe uzrokuje narušavanje sigurnosti računalnog sustava, bilo istovremeno ili jedna za drugom. To je na primjer, slučaj potresa popraćenog požarom, pri čemu je požar nastao kao rezultat uništenja plinskih ili električnih instalacija inicijalnim događajem, tj. potresom. Druge prijetnje poput ratova i terorističkih napada također možemo uključiti u ovu skupinu. Iako su uzrokovane ljudskim faktorom, možemo ih klasificirati kao katastrofe. Najveće prijetnje narušavanju sigurnosti računalnih sustava uzrokuju ljudi putem radnji koje izvršavaju, bilo da su one zlonamjerne ili ne. Prijetnje sigurnosti računalnih sustava ove skupine jesu:

• Zlonamjerni ljudski faktor Zlonamjerne prijetnje prouzrokovane ljudskim faktorom predstavljaju radnje kojima se ugrožava ili narušava sigurnost računalnih sustava, a koje se izvršavaju iz određenih razloga i s određenim namjerama. Izvršitelji zlonamjernih radnji mogu biti pojedinci, ali i skupine osoba. Općenito, ova skupina prijetnji sastoji se od unutarnjih napadača, nezadovoljnih ili zlonamjernih korisnika sustava i vanjskih napadača, koji nisu korisnici sustava i namjera im je nanijeti štetu i unijeti razdor u organizaciju.

• Nezlonamjerni ljudski faktor Osnovna razlika ove skupine prijetnji od prethodne jest nepostojanje zlonamjernog predumišljaja. Radnje kojima se narušava ili ugrožava sigurnost računalnih sustava izvršavaju se bez određenog razloga i bez određenih namjera. Uzrok ovih prijetnji jest neznanje ili neupućenost osoba koje se koriste resursima sustava.

U ovom radu koncentrirat ćemo se na prijetnje očuvanju sigurnosti računalnih sustava prouzrokovanim ljudskim faktorom, bilo zlonamjernim ili ne.

5


2. 2. Analiza sigurnosnih rizika Analiza sigurnosnih rizika od temeljne je važnosti za sigurnost bilo kojeg računalnog sustava. Smisao analize sigurnosnih rizika jest utvrđivanje rizika kojima je sustav izložen te pronalaženje načina na koji bi rizici bili uklonjeni, tj. smanjeni na prihvatljivu razinu. Naime, u praksi nije moguće izraditi potpuno siguran računalni sustav. Miller [4] daje iscrpan izvještaj o sigurnosnim rupama popularnih programa i operacijskih sustava, koji ukazuje da ne postoji operacijski sustav ili program bez sigurnosnih rupa te da se proizvođači niti ne trude napraviti takav operacijski sustav ili program. Dizajniranje i implementiranje potpuno sigurnog računalnog sustava izrazito je kompliciran, a u praksi nerješiv zadatak. Rješenje je u utvrđivanju prihvatljivog nivoa sigurnosnih rizika koji ovisi o arhitekturi sustava, namijeni sustava, implementiranoj tehnologiji itd. Pri analizi sigurnosnih rizika određenog računalnog sustava, potrebno je obuhvatiti kumulativni efekt svih postojećih sigurnosnih rizika bez obzira koliko se pojedinačno rizik činio velik [2]. Veći broj manjih propusta u zaštiti sigurnosti sustava pri prvoj analizi ne mora ostaviti dojam veće važnosti, međutim analiza svih manjih propusta kao dijelova jednog većeg propusta može se prezentirati kao značajan sigurnosni rizik. Iz područja statistike, vjerojatnost (P) sigurnosti sustava jednak je umnošku vjerojatnosti sigurnosti svake pojedine kritičke komponente sustava. Izraženo jednadžbom, to izgleda na sljedeći način:

P(sigurnost_sustava) = P(sigurnost_komponente_1) x ... x P(sigurnost_komponente_n)

P(sigurnost_sustava) = vjerojatnost da je sustav siguran P(sigurnost_komponente_1) = vjerojatnost da je komponenta 1 sigurna P(sigurnost_komponente_n) = vjerojatnost da je komponenta n sigurna

Iz toga slijedi vjerojatnost ugrožavanja ili narušavanja sigurnosti resursa računalnih sustava, tj. nivo sigurnosnog rizika sustava:

P(sigurnosni_rizik_sustava) = 1 - P(sigurnost_sustava)

P(sigurnosni_rizik_sustava) = nivo sigurnosnog rizika sustava P(sigurnost_sustava) = vjerojatnost da je sustav siguran

Jedno od glavnih ograničenja pri analizi sigurnosnih rizika je da donošenje zaključaka bude u kontekstu poslovnih ciljeva računalnog sustava. Naime, većina računalnih sustava izgrađena je bar jednim dijelom, direktno ili indirektno, iz ekonomskih razloga, dok neovisni računalni sustavi nalaze se u istraživačkim laboratorijima ili muzejima. U praksi vrijedi pravilo za informatičku tehnologiju da se nikad ne smije više potrošiti za zaštitu nečega nego što to zapravo vrijedi. Univerzalni matematički model za donošenje zaključaka i odluka ne postoji, ali određeni proračuni mogu pomoći u analizi. Primjer jedne funkcije kojom se opisuje odnos troškova i nivoa zaštite prikazan je sljedećom jednadžbom [2]:

6


RVI = TNS x VR / TZ

RVI = relativna vrijednost isplativosti TNS = trošak narušavanja sigurnosti VR = vjerojatnost rizika TZ = trošak zaštite

Budući da funkcija obuhvaća navedene, važne faktore jednim izrazom koristeći je možemo doći do korisnih zaključaka. Velike vrijednosti RVI predstavljaju slučaj kad su troškovi relativno mali u odnosu na nivo sigurnosti sustava. Ukoliko su troškovi visoki, a nivo sigurnosti je nizak, vrijednost RVI je niska, tj. isplativost računalnog sustava je niska.

7

Terminologija sigurnosnih incidenata

3. Terminologija sigurnosnih incidenata Veliki broj pojedinaca i organizacija redovito sakuplja te javno objavljuje informacije vezane za sigurnost računalnih sustava. Većinu informacija vezanih uz sigurnost računalnih sustava nije moguće uspješno uspoređivati i razmjenjivati. Razlog tome je da se pojedinci i organizacije ne koriste istim terminima pri navođenju i opisivanju ključnih informacija. Drugim riječima, sveopći jezik (terminologija) na području sigurnosti računalnih sustava još uvijek se nije razvio. Ovo je ozbiljan problem i postoji sve veći interes za njegovo rješavanje. Definiranje osnovnih pojmova i njihovih međusobnih odnosa nužan je preduvjet za sustavno proučavanje bilo kojeg područja istraživanja. Terminologija je skup termina koji se upotrebljavaju u nekoj grani znanja [5]. Termin ili naziv je riječ kojom se označava stručni pojam. Pojam ili koncept definiramo kao apstraktnu zamisao bitnih svojstava stvari i njezina razlikovanja od drugih stvari. Teorija terminologije bavi se pojmovima (konceptima), njihovim definicijama i njihovim lingvističkim ostvarenjima u obliku termina. Proces utvrđivanja terminologije sastoji se redom od identifikacije pojmova (koncepta), njihovog definiranja te pridavanja naziva, slika 3. 1. Definicije povezuju pojam koji se definira sa njemu najsrodnijim širim pojmom te na taj način određuju njegovo mjesto u strukturi znanja. Nadalje, one opisuju na koji se način taj pojam razlikuje od drugih pojmova u istom području znanja. Terminološka definicija mora biti dovoljno detaljna da razlikuje pojam i njegov naziv od drugih pojmova i njihovih naziva da bi se izbjegle nejasnoće. Također, termini trebaju biti definirani tako da se izbjegnu preklapanja značenja. Izbor naziva ili termina trebao bi efikasno i jednoznačno reflektirati određeni pojam [6].

Identifikacijapojma Definicija Imenovanje

Slika 3. 1. Proces utvrđivanja terminologije

Terminologijom se koristimo za klasifikaciju i razumijevanje sveukupnog znanja na određenom području istraživanja te nam omogućuje jedinstveno prepoznavanje i utvrđivanje određene materije. Cilj definiranja terminologije jest korištenje jedinstvenih termina za različite pojedince i organizacije pri sakupljanju, razmjeni i usporedbi informacija vezanih za određeno područje. Terminologija sigurnosnih incidenata jest sustav termina vezanih za sigurnost računalnih sustava. Ovim poglavljem pokušali smo utvrditi terminologiju sigurnosnih incidenata računalnih sustava. Svrha ovog poglavlja nije razvoj opsežnog rječnika termina korištenih na području sigurnosti računalnih sustava. Ovim poglavljem definirali smo minimalan skup vrlo važnih termina unutar strukture, indicirajući njihov međusobni odnos, a koji bi bio korišten za klasifikaciju i razumijevanje informacija o sigurnosnim incidentima računalnih sustava. Terminologiju sigurnosnih incidenata definiranu ovim poglavljem rabimo za klasifikaciju i prepoznavanje sigurnosnih rizika računalnih sustava u nastavku rada.

8


3. 1. Sigurnosni incident Sigurnosni incident definiramo kao događaj kojim je ugrožena ili narušena sigurnost računalnog sustava [7]. Ključni elementi svakog sigurnosnog incidenta su:

• Motiv Motiv predstavlja poticajni razlog zbog kojeg napadači ugrožavaju ili narušavaju sigurnost računalnog sustava.

• Svrha Svrha predstavlja namjeru, težnju koju napadač pokušava ostvariti ugrožavajući ili narušavajući sigurnost računalnog sustava.

• Napadač Napadačem nazivamo osobu koja izvršavajući određene radnje ugrožava ili narušava sigurnost računalnog sustava.

• Računalni napad Računalni napad predstavlja svaku pojedinu radnju kojom se ugrožava ili narušava sigurnost računalnog sustava.

Tijek jednog sigurnosnog incidenta prikazan je sljedećom slikom 3. 1. 1.

Napadač Računalninapad SvrhaMotiv

Slika 3. 1. 1. Sigurnosni incident

Kako je prikazano slikom, jedan sigurnosni incident može se sastojati od jednog, ali i više računalnih napada. Naime, u praksi se pokazalo da se sigurnosni incidenti često sačinjeni od više računalnih napada, a jedan sigurnosni incident razlikujemo od drugih incidenata prema motivu izvršenja, osobinama napadača, korištenim tehnikama, vremenu izvršenja itd.

3. 1. 1. Motivacija napadača

Motivacija napadača predstavlja poticajni razlog, odnosno pobudu za izvršenjem računalnog napada. Poznavanjem motivacija napadača možemo doći do mnoštva zanimljivih informacija o tome što, kada i gdje će napadač vjerojatno napasti. Poznavanje ovog područja pomaže nam u odgovarajućem poboljšavanju sigurnosnih mjera i smanjenju mogućnosti eksploatacije sigurnosnih rizika sustava. Ovim poglavljem predstavili smo većinu najočiglednijih motiva zbog kojih napadači izvršavaju računalne napade:

• Zabava Određene skupine napadača izvršavaju računalne napade nanoseći štetu iz čiste zabave. Pod pojmom zabava obuhvaćamo i izazov, vandalizam, uzbuđenje i sl. Iako se na prvi pogled nije prepoznatljivo što u računalnom

9


napadu pruža zabavu, to je upravo razlog zbog kojeg napadači s ovim motivom uspijevaju ostvariti svrhu svog napada. Naime, sigurnosne mjere često su usmjerene na npr. zaštitu novčanih dobitaka sustava, dok napadači zaobilaze sigurnosne mjere jer motivi njihovih napada nisu nužno usmjereni na iste predmete, u ovom slučaju na novčanu korist.

• Korist Direktno suprotna skupina napadača u odnosu na napadače koji izvršavaju računalne napade iz zabave su napadači s točno određenom svrhom napada, kao što su financijska korist, određena moć, status, špijunaža i sl. Karakteristično za napadače s ovom kategorijom motivacije je da su to često osobe s već stečenim izvrsnim i širokim znanjem na području računalne tehnologije, a koje primjenjuju u točno određene svrhe.

• Osveta Neki od napadača su motivirani iskrivljenim shvaćanjem pravde, odnosno osvećivanjem žrtvi računalnog napada. Napadači s ovim motivom osjećaju se na neki način uvrijeđeno ili oštećeno te, s druge strane, osjećaju se potpuno pravedni u radnjama koje izvršavaju. Jedan od najzastupljenijih primjera ove skupine su zlonamjerni legitimni korisnici sustava, npr. zaposlenik određene organizacije koji obavlja poslove sistem inženjera u informatičkom odijelu. Napadač s ovim motivom i koji poznaje dobro poznaje računalni sustav, izuzetno je opasan po sigurnost sustava.

• Znatiželja Kod mnogih napadača na sigurnost računalnih sustava poticajni razlog za izvršenje napada je znatiželja. Često napadači s ovom motivacijom su vrlo zainteresirani i zaneseni znanjima na području računalne tehnologije te izvršavaju napade sa svrhom praktične provjere stečenog znanja. Naime, napadači iz znatiželje žele saznati na koji način stvari funkcioniraju, što su u mogućnosti napraviti, koliko je ciljani sustav osiguran itd.

• Samodokazivanje Pobuda za izvršenje računalnog napada kod određenih skupina napadača je potreba za samodokazivanjem. Samodokazivanje predstavlja potrebu za potvrđivanjem vlastitog znanja na području računalne tehnologije samom sebi, određenoj osobi ili javnosti. Razlog ove motivacije vjerojatno je u prirodi ljudskog bića.

3. 1. 2. Napadači

Napadačima nazivamo osobe koje izvršavajući određene radnje ugrožavaju ili narušavaju sigurnost računalnog sustava. Različiti napadači izvršavaju računalne napade iz različitih razloga i zbog različitih namjera [8]. S obzirom na to tko su napadači, koji su njihovi motivi i namjere možemo ih svrstati u sljedeće kategorije:

• Hackeri Napadače koji vrše napade na računalne sustave zbog izazova, statusa ili uzbuđenja nazivamo hackerima. Riječ “hacker” originalno je korištena za osobe koje su izvrsni poznavatelji računalne tehnologije, ali danas je to izraz koji se sve više koristi s negativnom konotacijom.

10


• Profesionalni kriminalci Osobe koje zbog osobnih financijskih razloga izvršavaju računalne napade na sigurnost ciljanih računalnih sustava.

• Zlonamjerni korisnici Nezadovoljni i zlonamjerni legitimni korisnici koji ugrožavaju ili narušavaju sigurnost računalnog sustava, kojeg su legitimni korisnici, najčešće iz osvetničkih pobuda.

• Vandali Vandalima nazivamo skupinu napadača koji izvršavaju računalne napade bez nekog posebnog razloga, a osnovna namjera im je nanošenje štete.

• Špijuni Napadači kojima su primarni cilj izvršenja računalnog napada informacije, a koje bi bile korištene u političke, industrijske ili slične svrhe.

• Teroristi Namjera ove skupine napadača je izvršavajući računalne napade uzrokovanje straha koji bi bio korišten u političke ili slične svrhe.

3. 1. 3. Svrha računalnog napada

Svrha računalnog napada predstavlja namjeru, težnju koju napadač pokušava ostvariti ugrožavajući ili narušavajući sigurnost ciljnog računalnog sustava. Osnovne skupine po kojima možemo svrstati svrhe računalnih napada su sljedeće:

• Prikupljanje informacija Napadač izvršava računalni napad sa svrhom prikupljanja ciljanih informacija bez osjetne degradacije raspoloživosti resursa ciljnog računalnog sustava legitimnim korisnicima.

• Uskraćivanje raspoloživosti Svrha računalnog napada je uništenje ciljnog resursa računalnog sustava sa ciljem onemogućavanja legitimnih korisnika u korištenju sustavom.

• Krađa Svrha računalnog napada je krađa ciljnog resursa računalnog sustava sa ciljem ostvarenja određene dobiti te pri tome onemogućavanja legitimnih korisnika u korištenju sustavom.

• Nelegitimno korištenje Napadač izvršava računalni napad sa svrhom korištenja resursa ciljnog resursa računalnog sustava kao alata/posrednika za izvršenje računalnog napada na krajnju, ciljanu metu napada.

Kategorije napadača, motiva i svrhe zbog kojih izvršavaju računalne napade prikazane su slikom 3. 1. 3. 1.

11


Računalninapad

Hacker

Profesionalnikriminalac

Zlonamjernikorisnik

Vandal

Špijun

Terorist

Zabava

Korist

Osveta

Znatiželja

Prikupljanjeinformacija

Uskraćivanjeraspoloživosti

Krađa

Nelegitimnokorištenje

Samodokazivanje

Motiv Napadač Svrha

Slika 3. 1. 3. 1. Napadači, njihovi motivi i svrha

3. 2. Računalni napad Računalnim napadom nazivamo svaku pojedinu radnju kojom se narušava ili ugrožava sigurnost resursa računalnog sustava [9]. Računalni napad sastoji se od serije koraka poduzetih od strane napadača s namjerom ostvarenja željenog rezultata. Slikom 3. 2. 1. prikazani su elementi računalnog napada i njihov slijed, a u nastavku definirani su i analizirani pojedini elementi svakog računalnog napada.

Alat Ranjivost Pristup Radnja Meta Rezultat

Slika 3. 2. 1. Računalni napad

3. 2. 1. Alat

Prvi korak u procesu kojim napadač dolazi do željenog rezultata je alat (eng. tool) napada. Alat je sredstvo kojim se napadač koristi za eksploataciju ranjivosti računala ili mreže. Alati mogu biti jednostavni (npr. naredbe, fizički napad itd.), ali i sofisticirani (npr. računalni virusi, autonomni agenti itd.). Alate računalnih napada možemo podijeliti u sljedeće skupine:

• Fizički napad Pod fizičkim napadom podrazumijevamo neovlašteni fizički pristup, krađu ili uništenje ciljanog resursa računalnog sustava.

• Prikupljanje informacija

12


Pod prikupljanjem informacija podrazumijevamo sakupljanje ključnih informacija za izvršenje računalnog napada od samih osoba koja će biti žrtva napada, bilo dobrovoljno ili ne (socijalni inženjering) ili od drugih napadača.

• Programski alati Programske alate kao sredstva kojima napadači izvršavaju računalne napade možemo podijeliti u sljedeće skupine: Skripte ili programi

Eksploatacija ranjivosti ciljanog sustava korištenjem skripti ili programa koje je napadač samostalno izradio specijalno za određenu namjenu ili korištenjem već gotovih produkata programskih proizvođača (npr. Microsoft RecourceKit) ili drugih napadača. Izvršenje skripti ili programa vrši se udaljeno ili lokalno na ciljanom računalu, a ponekad uz pomoć intervencije legitimnog korisnika ciljanog sustava.

Računalni virusi Programi koji imaju svojstvo da za širenje po računalu ili mreži koriste tehniku samokopiranja, odnosno u mogućnosti su samostalno se "razmnožiti" bez intervencije napadača ili legitimnog korisnika ciljanog sustava.

Autonomni agenti Eksploatacija ranjivosti ciljanog sustava koristeći programe koji se izvršavaju na ciljanom sustavu neovisno o korisniku sustava. Ovakvi programi nakon instalacije na ciljanom računalu, bilo korištenjem tehnike samokopiranja ili ručno od strane napadača, samostalno se aktiviraju bez intervencije legitimnog korisnika ili napadača (npr. računalni crv Nimda).

Programski paketi Programski paket koji sadrži skripte i programe namijenjene za eksploataciju više različitih ranjivosti sustava (npr. široko dostupan Rootkit).

Distribuirani alati Napadač distribuira alate računalnog napada na više računala koji su koordinirani, direktno ili preko posrednika, za anonimno izvršavanje napada na ciljano računalo nakon određenog vremena (npr. distribuirani napadi na raspoloživost resursa, opisano poglavljem 4. 2., Napadi na raspoloživost resursa).

• Sklopovska oprema Pod pojmom sklopovska oprema podrazumijevamo računalne uređaje specijalne namijene, npr. osobno računalo, "digitalni analizator" namijenjen za prisluškivanje digitalnih linija itd.

3. 2. 2. Ranjivost

Napadači da bi ostvarili pristup svojim ciljevima, moraju iskoristit prednosti koje im pruža ranjivost (eng. vulnerability) računalnog sustava. Ranjivost definiramo kao nedostatak, slabost u dizajniranju, implementaciji i konfiguraciji sustava. Ranjivosti računalnih sustava možemo svrstati u sljedeće kategorije:

13


• Dizajn Ranjivost sustava uzrokovana dizajnom ili specifikacijom sklopovske opreme ili programske podrške, pored koje i savršena implementacija rezultira s ranjivošću sustava.

• Implementacija Ranjivost sustava uzrokovana je pogreškom napravljenoj pri implementaciji željenog dizajna u kojem nema pogrešaka ili ranjivosti.

• Konfiguracija Ranjivost sustava uzrokovana je pogreškom u konfiguraciji sustava. Na primjer, računi (eng. accounts) sustava s osnovnim (eng. default) zaporkama, postavljene “everyone full control” zabrane za nove datoteke itd.

3. 2. 3. Pristup

Za izvršenje željene akcije napadač mora ostvariti pristup meti računalnog napada. Pristup (eng. access) definiramo kao sposobnost izvođenja željenih aktivnosti na meti napada, odnosno kao uspostavljanje logičke ili fizičke komunikacije ili kontakta. Osnovne skupine po kojima možemo svrstati načine pristupa meti računalnog napada su:

• Neovlašteni pristup Pod neovlaštenim pristupom podrazumijevamo slučaj kada napadač predstavlja nečiji identitet kontroli pristupa ciljanog računalnog sustava ostvarujući na taj način (neovlašteni) pristup sustavu. Nakon ostvarenog pristupa sustavu korištenjem lažnog identiteta, napadač posjeduje prava korištenja resursima sustava koja su određena s iskorištenim identitetom.

• Neovlašteno korištenje Pod neovlaštenim korištenjem podrazumijevamo slučaj kada napadač ostvaruje svoje namjere izvršavanjem računalnih napada na ciljanom računalom sustavu, a da pri tome nije bio primoran zaobići kontrolu pristupa, odnosno nije bio primoran predstaviti svoj (lažni) identitet ciljanom sustavu. Na primjer, prisluškivanje mrežnog prometa, napadi na raspoloživost resursa itd.

3. 2. 4. Radnja

Nakon što je napadač ostvario pristup meti napada vrši određenu radnju, akciju s namjerom ostvarenja željenog rezultata napada. Radnje računalnih napada možemo svrstati u sljedeće kategorije:

• Istraživanje Radnju kojom napadač pokušava utvrditi određene karakteristike ciljanog resursa sustava nazivamo istraživanjem (eng. probe). Ova radnja sastavni je dio svih sigurnosnih incidenata i uglavnom se koristi u dijelu računalnog napada kada napadač "istražuje teren", npr. pokušava saznati je li ciljano računalo uključeno, koja je IP adresa ciljanog računala itd.

14


• Pregledavanje Radnjom pregledavanja podrazumijevamo sekvencijalno pristupanje ciljevima računalnog napada s namjerom utvrđivanja koji od ciljeva sadrže točno određene karakteristike. Na primjer, za napadača je korisno utvrditi koja su računala sa istom i točno određenom vrstom i verzijom operacijskog sustava jer je velika vjerojatnost da isti sigurnosni problem postoji na svim tim računalima, odnosno u mogućnosti je primijeniti istu tehniku računalnog napada na svim računalima istih karakteristika.

• Preopterećenje Pod preopterećenjem podrazumijevamo uzastopna pristupanja i korištenja resursima ciljanog računalnog sustava s namjerom preopterećenja (eng. overload). Rezultat ovih radnji je uskraćivanje raspoloživosti sustava legitimnim korisnicima.

• Lažno predstavljanje Lažnim predstavljanjem podrazumijevamo radnju kojom napadač predstavlja nečiji identitet kontroli pristupa ciljanog računalnog sustava s namjerom ostvarenja neovlaštenog pristupa sustavu. Rezultat ove radnje je pristup sustavu s pravima korištenja resursima sustava koja su određena s iskorištenim identitetom.

• Čitanje Radnju pregledavanja sadržaja podataka u uređaju za pohranu ili nekom drugom uređaju nazivamo čitanje.

• Kopiranje Radnju reproduciranja mete računalnog napada ostavljajući pri tome original mete nepromijenjen nazivamo kopiranje.

• Krađa Preuzimanje cilja bez ostavljanja kopije na originalnoj lokaciji.

• Modifikacija Pod modifikacijom podrazumijevamo radnju promijene sadržaja ili karakteristika mete računalnog napada. Na primjer, promjena sadržaja ili dozvola pristupa datotekama.

• Brisanje Pod brisanje podrazumijevamo uklanjanjem ili uništenje mete računalnog napada.

3. 2. 5. Meta

Mete, ciljeve računalnih napada možemo podijeliti na logičke i fizičke. Logički ciljevi sastoje se od tri entiteta – račun, proces i podaci. Fizički ciljevi se sastoje od komponenata, računalnih uređaja i mreže. Mete računalnih napada možemo klasificirati u sljedeće skupine:

• Račun

15


Domena korisničkog pristupa na računalo ili mrežu koji je pod kontrolom prema zapisniku informacija koji sadrži ime korisničkog računa, zaporku i korisničke restrikcije.

• Proces Proces je u osnovi program u izvršenju. On se sastoji od izvršnog programa, programskih podataka i stoga programa, programskog brojača, pokazivača stoga i svih drugih informacija potrebnih za izvršenje programa.

• Podaci Prezentacija činjenica, koncepata ili instrukcija u obliku pogodnom za komunikaciju, interpretaciju ili procesiranje. Podaci mogu biti u formi datoteka spremljenih u memoriji računala, u uređaju za pohranu podataka ili u formi podataka u prijenosu kroz medije za prijenos.

• Komponenta Komponenta predstavlja jedan od dijelova, od kojih se sastoji računalo ili mreža.

• Računalni uređaj Uređaj koji se sastoji od jedne ili više udruženih komponenata, uključujući jedinice za procesiranje i periferalne jedinice, a sve to je kontrolirano unutrašnjim programom i u mogućnosti je riješiti značajne računske operacije, uključujući numeričko aritmetičke operacije ili logičke operacije bez ljudske intervencije za vrijeme izvršenja.

• Mreža Grupa međusobno povezanih računala, elemenata za preusmjeravanje i ogranaka za međusobno povezivanje.

3. 2. 6. Rezultat

U ovoj točki slijeda računalnih napada, napadač je ostvario pristup željenim procesima, datotekama ili podacima u prijenosu, tj. meti napada. Napadač je sada u mogućnosti iskoristiti pristup te izvršiti neku od akcija na meti napada. Kategorije rezultata napada možemo definirati na sljedeći način:

• Povećanje pristupa Neovlašteno ostvarenje ili povećanje u područje pristupa resursima računalnog sustava. Korist za napadača ostvarena računalnim napadom je mogućnost korištenja resursima sustava kao legitimni korisnik.

• Razotkrivanje informacija Dostavljanje informacija svakome tko nije ovlašten za pristup tim informacijama, tj. narušena je povjerljivost informacija. Legitimni korisnici nisu spriječeni u korištenju sustavom, a ne moraju nužno saznati da su povjerljivi podaci dostavljeni neovlaštenim osobama.

• Korupcija informacija Neovlaštena izmjena podataka na računalnom sustavu kojom se narušava cjelovitost resursa sustava. Posljedice za legitimne korisnike sustava su

16


nemogućnost korištenja resursima sustava (npr. promjena dozvola pristupa) ili korištenje neispravnim podacima (npr. promjena sadržaja datoteka).

• Raspoloživost sustava Degradacija ili blokiranje resursa računalnog sustava. Korist za napadača ostvarena računalnim napadom je sprječavanje legitimnih korisnika u korištenju sustavu te je karakteristika ovih računalnih napada da se resursi sustava nužno ne uništavaju.

• Krađa resursa Neovlašteno korištenje resursa računalnih sustava bez osjetne degradacije raspoloživost resursa legitimnim korisnicima. Karakteristično za ove računalne napade je da napadač ostvaruje svoje namjere, a da pri tome legitimni korisnici nisu ometani u korištenju sustavom.

• Uništenje Neovlašteno brisanje ili uništenje ciljanog resursa računalnog sustava. Napadač ne ostvaruje direktnu, konkretnu korist od uništenja ciljanog resursa, dok je legitimni korisnik onemogućen u korištenju sustavom.

3. 2. 7. Terminologija računalnih napada

Računalni napadi sastoji se od serije koraka koje napadač poduzima s namjerom ostvarenja željenog cilja. Napadač koristi alat za eksploataciju ranjivosti računalnog sustava da bi ostvario pristup te izvršio određenu radnju na meti napada s namjerom ostvarenja željenog rezultata. Slikom 3. 2. 7. 1. prikazan je blok dijagram kojim je predstavljena terminologija napada na sigurnost računalnih sustava.

17


Fizičk

i nap

ad

Prik

uplja

nje

info

rmac

ijaPr

ogra

msk

ial

ati

Sklo

povs

kaop

rem

a

Diz

ajn

Impl

emen

taci

ja

Konf

igur

acija

Neo

vlaš

teni

pris

tup

Neo

vlaš

teno

koriš

tenj

e

Istra

živa

nje

Preg

leda

vanj

e

Preo

pter

ećen

je

Lažn

opr

edst

avlja

nje

Čita

nje

Kopi

ranj

e

Krađ

a

Mod

ifika

cija

Bris

anje

Rač

un

Proc

es

Poda

ci

Kom

pone

nta

Rač

unal

niur

eđaj

Mre

ža

Poveća

nje

pris

tupa

Raz

otkr

ivan

jein

form

acija

Koru

pcija

info

rmac

ijaR

aspo

loži

vost

sust

ava

Slik

a 3.

2. 7

. 1. T

erm

inol

ogija

raču

naln

ih n

apad

a

Krađ

a re

surs

a

Uni

šten

je

Alat

Ran

jivos

tPr

istu

pR

adnj

aM

eta

Rez

ulta

t

18

Tehnike računalnih napada

4. Tehnike računalnih napada Pod terminom tehnike računalnog napada podrazumijevamo planski postupak poduzet od strane napadača s namjerom ugrožavanja ili narušavanja sigurnosti računalnog sustava. Tehnika računalnog napada predstavlja način djelovanja kojim napadač eksploatira određeni sigurnosni problem računalnog sustava. U praksi se pokazalo da je relativno mali broj sigurnosnih problema uzrok većine sigurnosnih incidenata [10]. Rješavanjem tih problema znatno bi se smanjili sigurnosni rizici računalnih sustava. Stoga, poznavanje osnovnih principa djelovanja napadača, odnosno tehnika računalnih napada nužan je preduvjet za uspješnu analizu te upravljanje sigurnosnim rizicima računalnih sustava. U ovom poglavlju predstavljene su najčešće uspješno korištene tehnike računalnih napada te su opisani osnovni principi njihova izvršenja. Postoji više principa djelovanja napadača, a također i više načina grupiranja tehnika računalnih napada. S obzirom na to koje se tehnike napada u praksi najčešće uspješno koriste, tehnike napada možemo svrstati u sljedeće osnovne kategorije: neovlašteni upadi (eng. intrusion), napadi na raspoloživost servisa (eng. denail of service), krađa informacija (eng. information theft), napadi na zaporke, TCP/IP napadi lažnim predstavljanjem i socijalni inženjering.

4. 1. Neovlašteni upadi Najuobičajenija tehnika računalnih napada na računalne sustave su neovlašteni upadi kojima su napadači u mogućnosti koristiti resurse sustava na neodgovarajući način. Cilj ovih napadača jest korištenje sustavom kao da su legitimni, ovlašteni korisnici. Neovlašteni upad (eng. intrusion) možemo definirati kao višestruko djelovanje sa svrhom kompromitiranja cjelovitosti, povjerljivosti i dostupnosti podataka. Neovlaštene upade možemo klasificirati u sljedeće tri skupine: penetracije u računalne sustave, zlonamjerni programi i zlonamjerni HTML.

4. 1. 1. Penetracije u računalne sustave

Penetracije u računalne sustave definiramo kao mogućnost ostvarenja neovlaštenog pristupa resursima sustava, odnosno preuzimanja kontrole nad resursima računalnih sustava [11]. Penetracije općenito dijelimo na lokalne i udaljene. Kod lokalnih penetracija u sustave napadač vrši akcije lokalno na računalu, dok kod udaljenih penetracija akcije se izvršavaju udaljeno, preko mreže. Postoje dvije vrste potencijalnih uljeza (eng. intruder):

• Vanjski uljezi Većina ljudi percipira da je vanjski svijet najveća prijetnja sigurnosti njihovih računalnih sustava. Medijska bojazan od hackera koji preko Interneta neovlašteno upadaju u zaštićene sustave još više pojačava tu percepciju.

• Unutrašnji uljezi

19


Proučavanja instituta za sigurnost računalnih sustava FBI-a kazuju da oko 55% neovlaštenih upada i napada na sigurnost računalnih sustave dolaze iz same organizacije, tj. iznutra [12]. Naime, unutarnji uljez (eng. insider) poznaje strukturu sustava, gdje se nalaze važni podaci i kakve zaštitne mjere su postavljane te zbog toga nije potrebno da posjeduju izvrsno znanje na području računalne tehnologije.

Usprkos činjenici da je većina sigurnosnih mjera i mehanizama postavlja s namjerom zaštite od zlonamjernog vanjskog svijeta, veliki broj neovlaštenih penetracija u računalne sustave zapravo se događaju unutar samog sustava. Napadači koristeći poznate tehnike, odnosno iskorištavanjem poznatih ranjivosti računalnih sustava u mogućnosti su prodrijeti u mnoge računalne sustave. U praksi, često se događa da administratori većih sustava ne stignu ili jednostavno ne instaliraju sve potrebne sigurnosne zakrpe na svim računalima. Također, često nije moguće u potpunosti provesti ili se događaju propusti pri implementaciji sigurnosne politike. Na primjer, situacija kada osoba, kojoj sigurnosnom politikom to nije dozvoljeno, ostvari pristup resursu sustava pored mehanizma kontrole pristupa koji ispravno funkcionira, međutim nije podešen prema sigurnosnoj politici. Primjer: Penetracija iskorištavanjem Unicode ranjivosti. Ovim primjerom prikazana je tehnika računalnog napada "directory traversal attack", koja iskorištava sigurnosne propuste na Microsoft Windows NT 4.0 operacijskim sustavima sa Internet Information Server (IIS) 4.0 web poslužiteljem te Windows 2000 Server sa IIS 5.0 koji nemaju instaliran Service Pack 2 [13]. Naime, Unicodom je određen jedinstven kôd za svaki znak neovisno o platformi, programu i jeziku. Većina je proizvođača, uključujući Microsoft, prihvatila Unicode standard. Šaljući IIS poslužitelju pažljivo sastavljen URL, koji sadržava neispravan Unicode UTF-8 niz, napadač može prisiliti poslužitelj da doslovce "izađe" iz direktorija te izvrši proizvoljne skripte. Ukoliko se na IIS web poslužitelju, na kojem nije instalirana odgovarajuća sigurnosna zakrpa, unese sljedeći URL:

http://poslužitelj/skripts/..%c0%af../winnt/system32/

cmd.exe?/c+dir+c:\

rezultat je prikazivanje sadržaja diska C. URL koji je potrebno unijeti ovisi o konfiguraciji sustava te je u ovom slučaju korištena neopasna naredba DIR. Uzrok ranjivost IIS poslužitelja je u neprovjeravanju predugačkih nizova (eng. over long sequences), a koji su tehnički neispravni Unicode prikazi. U ovom slučaju, Unicode ekvivalent za "/" jest "%c0%at", a znak se prikazuje korištenjem dvaju okteta (eng. byte). Dakle, prosljeđivanje predugačkog Unicode niza u URL-u zaobići će Microsoft sigurnosne provjere.

4. 1. 2. Zlonamjerni programi

Pokretanje malicioznih, zlonamjernih programa unutar sustava predstavlja veliku prijetnju sigurnosti računalnih sustava. Zlonamjernim programima smatramo programe koji na bilo koji način ugrožavaju cjelovitosti, povjerljivosti i dostupnosti podataka. Takve programe često nazivamo i računalnim virusima, iako bi računalni virusi trebali biti podvrsta zlonamjernih program koji imaju svojstvo da za širenje po

20


računalu ili mreži koriste metodu samokopiranja, često bez znanja korisnika računalnog sustava [14]. Računalni virusi u mogućnosti su prilijepiti se (eng. attach) na programe, datoteke ili boot sektore diskova te se aktiviraju otvaranjem ili pristupanjem inficiranim elementima. Jednom kad je računalni virus aktiviran, sposoban je ugroziti sigurnost sustava i/ili se razmnožiti. Zlonamjerne programe s obzirom na način aktiviranja i širenja možemo svrstati u sljedeće skupine:

• Parazitski virusi Parazitski virusi priljepljuju se na izvršne programe te mijenjaju (eng. divert) tijek izvršenja programa na način da se virusni kôd izvrši prvi. Nakon što je virus izvršen, virus s namjerom skrivanja izvršava originalni program. Ovisno o vrsti virusa, virusni kôd može biti ubačen na početak, kraj, na početku i kraju ili u sredini programa. Sljedećom slikom prikazani su načini infekcije programa parazitskim virusom.

Program

Program Virus

ProgramVirus

Neinficirani program

Program inficiranna kraju

Program inficiranna početku

Slika 4. 1. 2. 1. Infekcija programa parazitskim virusom

Operacijski sustav računalne viruse ove vrste smatra dijelom programa te mu dodjeljuje jednaka ovlaštenja za izvršenje. Ova ovlaštenja omogućuju virusima samokopiranje, instalaciju u memoriju ili slične aktivnosti.

• Boot sektor virusi Boot sektor virusi su računalni virusi koji su se prvi pojavili. Boot sektor virusi mijenjaju sadržaj boot sektora ovisno o vrsti virusa i vrsti diska, na način da legitimni sadržaj mijenjaju sa svojom verzijom. Rezultat toga je da se pri podizanju sustava (eng. booting up) virusna verzija izvršava. Sljedećom slikom prikazana je infekcija diska boot sektor virusom.

Skok

Inficirani boot sektorOstatak virusnog kôda

Prostor na disku Prostor na disku

Slika 4. 1. 2. 2. Infekcija diska boot sektor virusom

Boot sektor virusi se razmnožavaju preko fizičke razmjene medija koji se koriste za podizanje sustava (najčešće floppy disketa). Osobna računala inficiraju se

21


ovom vrstom virusa samo u slučaju ukoliko korisnik podiže sustav s inficiranog diska.

• Viševrsni virusi Viševrsni virusi koriste karakteristike parazitskih i boot sektor virusa. Ovi virusi inficiraju izvršne programe (kao parazitski virusi) i boot sektore (kao boot sektor virusi) kao što je prikazano slikom 4. 1. 3. Ova vrsta virusa širi se preko fizičke razmjene bilo kojeg medija koji može biti korišten za pohranu ili prijenos izvršnog kôda (diskovi, trake ili mreža).

Inficirani boot sektor

Inficirani program

Skok

Ostatak virusnog kôda

Slika 4. 1. 2. 3. Viševrsni virusi

• Trojanski konj Trojanskim konjem nazivamo programe koji izvršavaju akcije koje nisu opisane njihovom specifikacijom. Trojanski konj je zlonamjerni kôd koji se obično nalazi skriven unutar programa kao što su igre ili tablični kalkulatori. Takvi programi prigodom izvršenja funkcioniraju onako kako to korisnik očekuje, ali zapravo u pozadini uništava, oštećuje ili mijenja podatke. Ovo su samostalni izvršni programi kojima za izvršenje nisu potrebni drugi programi na koje bi se vezali kao parazitski virusi. Također, trojanski konji nemaju mogućnost samokopiranja.

• Računalni crvi Računalni crvi (eng. worm) su programi dizajnirani za replikaciju, odnosno nije potreban medij za prijenos kao kod boot sektor virusa. Ovi programi su također u mogućnosti izvršiti više različitih dodatnih zadataka. Prvi mrežni crvi su izrađivani s namjerom korisnog programa za rukovođenje mrežom. Računalni crvi su samodovoljni, samodržavajući programi koji se umnožavaju preko mreže te koriste prednosti karakteristika sustava. To su autonomni agenti koji se izvršavaju neovisno i putuju s računala na računalo bez korištenja drugog programa ili intervencije od strane korisnika. Opasnost računalnog crva, odnosno nivo narušavanja sigurnosti računalnog sustava ovisi o mogućnosti pronalaženja drugih mrežnih uređaja i izvršenja na njima.

• Logička bomba Logička bomba je programski kôd koji provjerava postojanje određenih uvjeta u sustavu. Kada su ti uvjeti ispunjeni, zlonamjerni kod se izvršava narušavajući pri tome sigurnost računalnog sustava. Uobičajeni događaji koji uzrokuju izvršavanje programa su vrijeme, prisustvo ili nepostojanje podataka kao što su ime ili brisanje određene datoteke.

22


Ne

Da

Izvršenje

Ispunjenjeuvjeta

Slika 4. 1. 2. 4. Dijagram toka logičke bombe

• Vezujući virusi Vezujući (eng. link) virusi rade na način da povezuju pokazivač (eng. pointer) na prvi klaster direktorija zapisa od jednog ili više izvršnih datoteka na jedan klaster koji sadrži kôd virusa, slika 4. 1. 5. Originalni broj prvog klastera pohranjen je u nekorištenom prostoru direktorija zapisa. Vezujući virusi šire se preko bilo kojeg medija koji se može koristiti za pohranu ili prijenos izvršnog kôda.

Inficirani sustavNeinficirani sustav

Virusnikôd

Pokazivači naprvi klaster

XXX.COMXXX.EXEXXX.EXE

Disk - prostorza podatke

Zapisi udirektoriju

Pokazivač naprvi klaster

XXX.COMXXX.EXEXXX.EXE

Disk - prostorza podatke

Zapisi udirektoriju

Slika 4. 1. 2. 5. Zapisi u direktoriju u neinficiranom i inficiranom sustavu

vezujućim virusom

• Makro virusi Makro virusi koriste makroe, instrukcije u datotekama podataka koje automatski izvršavaju programske naredbe. Makro virus je makro program s mogućnošću samokopiranja i širenja s jedne datoteke na drugu. Ukoliko se aktivira datoteka koja sadrži makro virus, virus se kopira u startne datoteke aplikacije. Pri aktiviranju sljedeće datoteke koristeći istu aplikaciju, virus inficira datoteku.

23


Makro okolina iintrepreter

Dokument

Makro 3Makro 2Makro 1

Slika 4. 1. 2. 6. Makro virusi

• Virusni pratioci Virusni pratioci (eng. companion) karakteristični su za Microsoft Windows operacijske sustave, odnosno ovi virusi eksploatiraju svojstva Microsoft DOS komadnog intrepetera. Naime, u slučaju postojanja dvaju programa s istim nazivom u odgovarajućem direktoriju, operacijski sustav izvršava COM datoteku prije EXE datoteke s istim nazivom. Virusi pratioci, kako je prikazano slikom 4. 1. 2. 7., kreiraju COM datoteku s istim imenom kao EXE datoteka koja inficira pohranjujući virusni kôd u COM datoteku.

Orginalni program (nije izmjenjen)

Virusni kôd

APLIKACIJA.EXE

APLIKACIJA.COM Skriveno

Slika 4. 1. 2. 7. Virusni pratioci

Virusni pratioci se šire preko bilo kojeg medija koji može biti korišten za pohranu ili prijenos izvršnog kôda.

4. 1. 3. Zlonamjerni HTML

Web stranice sadrže zajedno tekst i HTML oznake (eng. markup) koje su generirane od strane servera i interpretirane na strani klijenta. Serveri koji generiraju statičke stranice imaju potpunu kontrolu na koji način će klijenti interpretirati stranice poslane od strane servera. Međutim, serveri koji generiraju dinamičke stranice nemaju potpunu kontrolu kako će njihov izlaz biti interpretiran od strane klijenta. Ukoliko je zlonamjeran sadržaj od strane napadača umetnut u dinamičku stranicu, ni server ni klijent nemaju dovoljno informacija da to prepoznaju [15]. Web siteovi često nehotice sadrže zlonamjerne HTML dodatke i skripte unutar dinamički generiranih stranica baziranih na nepovjerljivim ulaznim podacima od strane nepouzdanih izvora. Ovo može biti problem ukoliko web serveri adekvatno ne osiguraju generirane stranice pravilnim dekodiranjem s ciljem prevencije neželjenih izvršenja skripti te u slučaju kada ulazni podaci nisu ispravni, spriječiti zlonamjerni HTML od prezentacije korisnicima [16].

24


Većina web preglednika (eng. browser) posjeduju mogućnost interpretiranja skripti dodanih u web stranice, a skinute (eng. downloaded) s web servera. Takve skripte mogu biti pisane različitim jezicima (scripting languages) i izvršene korisničkim preglednicima. Većina preglednika su instalirani s mogućnošću izvršenja skripti po osnovi (eng. default). Zlonamjerni sadržaj koji se prenosi unutar HTML prometa možemo svrstati u sljedeće tri skupine [17]:

• Java programi Java je objektno orijentirani, više platformski jezik baziran na sintaksi JVM-a (Java Vitrual Machine) kao strojni jezik (eng. machine language). Budući da izvršenje Java aplikacija i apleta teoretski neovisno o platformi, prirodno je njihovo korištenje za programe bazirane na webu. Iz sigurnosnih razloga Java je izgrađena na način da su programi pri izvršavanju ograničeni na vlastito područje memorije te nemaju pristup datotečnom sustavu ili drugim aplikacijama u izvršenju. Ovo čini Javu sigurnim jezikom, ali ništa nije savršeno. Propusti (eng bug) napravljeni u određenim implementacijama Jave omogućuju apletima pristup lokalnim datotekama.

• JavaScript i JScript JavaScript je skriptni jezik baziran na sintaksi Jave koji je moguće dodati u HTML dokument s namjerom omogućavanja aktiviranog sadržaja na strani klijenta, na primjer animacije. JavaScript je razvijen od strane Netscape Communication kao alternativa Javi. Microsoftova implementacija u Internet Explorer naziva se JScript. Poput Jave, JavaScript je vrlo ograničenih mogućnosti djelovanja i iz tog razloga je siguran. Međutim, JavaScript programi su u mogućnosti čitati lokalne datoteke, slati e-mail poruke, pribaviti mrežne zaporke ili čak formatirati tvrdi diska.

• ActiveX komponente ActiveX je Microsoftova kontrolna plug-in tehnologija namijenjena za web preglednike, a koja omogućuje da se kompajliranim kontrolama može pristupiti iz HTML dokumenta te da budu automatski spuštene i instalirane ukoliko već nisu dodane u web pretraživač. ActiveX tehnologija je odgovor Microsofta na Javu. ActiveX programi mogu napraviti sve što programer želi napraviti. Zlonamjerni ActiveX kôdovi mogu ostvariti potpuni pristup sustavu te ostvariti pristup podacima na tvrdom disku bez znanja korisnika.

Korisnici su u mogućnosti nehotice izvršiti skripte od strane napadača u situacijama kada slijede neprovjerene linkove na web stranicama, e-mail porukama ili newsgroup postingu. Korisnici također mogu neznajući izvršiti zlonamjerne skripte kada pregledavaju dinamički generirane stranice bazirane na sadržaju nabavljenim od strane drugih korisnika ili korištenjem interaktivnih formi na neprovjerenim web stranicama. Primjer: Zlonamjerni kôd opskrbljen od jednog korisnika drugom. Ovim primjerom prikazan je način distribucije zlonamjernog kôda od jednog korisnika drugom. Napadač umeće zlonamjerni HTML dodatke u e-mail poruku namijenjenu drugom korisniku. Na primjer, napadač šalje e-mail poruku čiji je izvorni kôd oblika:

25


Ovo je moja poruka.

<SCRIPT>zlonamjerni kôd </SCRIPT>

Ovo je kraj moje poruke.

Kad primatelj poruke, s omogućenim izvršavanjem skripti u svom pregledniku, pročita poruku zlonamjerni kôd može se neočekivano za primatelja izvršiti. Dodatne skripte mogu biti umetnute na ovaj način uključujući <SCRIPT>, <OBJECT>, <APPLET> i <EMBED> oznake (eng. tag). Primjer: Praćenje nepovjerljivih linkova na web stranicama. Neželjena izvršavanja zlonamjernih HTML kôdova događaju se u situacijama kada se klijent oslanja na nepouzdane izvore informacija kada postavlja upit. Na primjer, napadač konstruira link kao:

<A HREF="http://primjer.com/comment.cgi?

mojkomentar=<SCRIPT> zlonamjerni kôd </SCRIPT>"> Click here</A>

Kada korisnik koji ne sumnja u pouzdanost aktivira link, URL šalje prema primjer.com uključujući zlonamjerni kôd. Ukoliko web server šalje stranicu nazad korisniku uključujući vrijednost od mojkomentar, zlonamjerni kôd se neočekivano izvršava na strani klijenta. Ovaj primjer odnosi se i na nepovjerljive linkove proslijeđene u e-mailovima ili newsgroup porukama. Primjer: Zloupotreba povjerenja. Ovim primjerom prikazano je kršenje povjerenja koje rezultira unošenje skripti ili izvršenja HTML-a unutar sigurnosnog konteksta ostvarenog na primjer.com, naravno s pretpostavkom da je pretraživač – žrtva sitea dovoljno zainteresiran da posjeti neprovjereni izvor. U dodatku, sigurnosna politika legitimnog sitea primjer.com može biti kompromitirana.

<A HREF="http://primjer.com/comment.cgi?

mojkomentar =<SCRIPT SRC='http://zlonamjerni-site/ zlonamjerna-datoteka'></SCRIPT>"> Click here</A>

Ovaj primjer eksplicitno prikazuje upletenost dva sitea, SRC atribut unutar <SCRIPT> oznaka je dodan zlonamjerni kôd od strane pretpostavljanog, neautoriziranog izvora (zlonamjerni-site). Iz razloga što jedan izvor ubacuje kôd unutar stranice postavljene od strane drugog izvora, ova ranjivost naziva se i “cross-site” scripting.

4. 2. Napadi na raspoloživost resursa Osnova sigurnosti računalnih sustava koja je potrebna svakom korisniku je raspoloživost ili dostupnost sustava. Ukoliko sklopovlje, programska podrška ili podaci nisu raspoloživi, produkcija sustava može biti ugrožena iako ništa nije u kvaru. Tehnika računalnih napada na raspoloživost servisa (eng. denail of service - DoS) mogu se definirati kao namjerni ili nenamjerni napadi na raspoloživost

26


sustava, odnosno dizajnirani su s namjerom sprječavanja legitimnih korisnika u korištenju sustavom. Ovim napadima ne uništavaju se nužno podaci direktno ili permanentno, ali se namjerno narušava raspoloživosti resursa [18]. Tehniku računalnih napada na raspoloživost servisa smatramo vrlo efikasnim, ali i lakim načinom napada u smislu da nije potrebno ostvarenje direktnog pristupa sustavu te da postoji jako puno potencijalnih smjerova i načina implementacije. Distribuirani napadi na raspoloživost resursa (eng. distributed denail of service – DDoS) služe se većim brojem računala koja udružena koriste za izvršenje napada na određeni sustav [19]. Topologija distribuiranih napada na raspoloživost resursa sastoji se od četiri dijela, kako je prikazano slikom 4. 2. 1.

Napadač

Rukovoditelj Rukovoditelj Rukovoditelj

Agent Agent

Meta

Agent AgentAgent Agent

Slika 4. 2. 1. Distribuirani napadi na raspoloživost resursa

Kompromitirajući dio možemo podijeliti u rukovoditelje i agente. Jedan ili više rukovoditelja kontroliraju agente koji izvršavaju napad. Rukovoditelji upravljaju listom svih agenata te signaliraju agentima kada započeti napad i specificiraju metodu napada. Napadač udaljeno kontrolira rukovoditelje i svaki pojedini agent odgovara više od jednom rukovoditelju. Kod DDoS-a napada ekstremno je teško pronaći izvor napada zbog skrivajućih metoda ugrađenih u alate. Koriste se kriptografija za skrivanje komunikacije te se krivotvore izvorišne adrese s ciljem skrivanja lokacije. Skupinu napada na raspoloživost resursa računalnih sustava možemo razdvojiti u sljedeće kategorije: uništenje sistemskih podataka, degradacija procesa, degradacija pohrane i isključenje resursa sustava.

4. 2. 1. Uništenje sistemskih podataka

Ukoliko napadač uspostavi pristup korisničkim, računalnim ili mrežnim datotekama, tada je u mogućnosti uništiti ili koruptirati pojedine ili sve od tih datoteka. Na nivou korisnika, na primjer napadač briše pojedine ili sve datoteke vezane uz korisničke račune, stvarajući na taj način korisničke račune neupotrebljivima. Na nivou računala, kritične sistemske datoteke mogu biti brisane ili mijenjane ili svi podaci koji se nalaze na disku mogu biti uklonjeni. Na mrežnome nivou, mrežne datoteke mogu biti uništene pa mreža ili neki od servisa mogu biti degradirani ili nedostupni. Primjer: Uklanjanje NTLDR sistemske datoteke

27


Ukoliko se na MS Windows NT računalima ukloni sistemska datoteka NTLDR, pri sljedećem startanju računala operacijski sustav se neće podići. Preduvjeti za izvršenje ovog napada su da je napadač ostvario pristup ciljanom računalu te da poznaje lokalni administratorski račun ciljanog računala.

4. 2. 2. Degradacija procesa

Pored uništenja datoteka, napadi na raspoloživost servisa mogu biti izvršeni preko preopterećenja (eng. overloading) procesa na računalu s ciljem onemogućavanja korištenja resursa bilo preko smanjenja performansi sustava, bilo preko nedostupnosti resursa. Dva su načina preko kojih napadači to ostvaruju. Oni su u mogućnosti uspostaviti konekciju preko mreže te pokrenuti veliki broj procesa s ciljem da računalo ne bude u mogućnosti podržati nijedan novi proces, bilo za jednog korisnika ili za sve korisnike. Drugi način je pokretanje više procesa koji koriste (eng. consume) veliku količinu procesorskog (CPU) vremena, uzrokujući preopterećenje procesora (eng. CPU overload). U nastavku predstavljeni su po jedan primjer za oba načina izvršenja ove tehnike računalnih napada. Primjer: Zlonamjerno korištenje naredbe TELNET. Naredbu TELNET moguće je iskoristiti za vrlo opasan napad na raspoloživost servisa. Sljedećim primjerom prikazana kratka skripta kojom je to moguće izvršiti, a rezultat toga je visoki protok (eng. high bandwidth) i smanjenje slobodne memorije.

while TRUE do

telnet sustav.koji.napadamo

loop

Primjer: Zlonamjerno korištenje naredbe FORK. Koristeći naredbu FORK moguće je izvršiti opasan napad na raspoloživost servisa prema sljedećem primjeru:

while TRUE do

system(“naredba”)

fork()

loop

Moguće je i izvršiti fork djeteta procesa za svaki dijete proces. Na taj način postiže se eksponencijalno povećanje radnog opterećenja CPU jedinice i slobodnog memorijskog prostora prouzrokovano svim djeca procesima.

28


4. 2. 3. Degradacija pohrane

Sljedeću skupinu napada na raspoloživost resursa sustava predstavlja degradacija pohrane. Ukoliko napadač ispuni korisničku kvotu na disku ili ispuni prostor raspoloživ za sve korisnike, tada korisnici nisu u mogućnosti pohranjivati podatke sve dok se stanje disk full ne promijeni. Primjer: Ispunjavanje raspoloživog memorijskog prostora na disku. Sljedećim primjerom prikazan je način kojim je moguće ispunjavanje raspoloživog memorijskog prostora na disku. Ukoliko disk nije ograničen kvotom moguće je ispuniti prostor raspoloživ za pohranu podataka.

while TRUE do

mkdir .xxx

cd .xxx

loop

4. 2. 4. Isključenje resursa sustava

Ovu vrstu napada na raspoloživost resursa sustava dijelimo na napade isključenja procesa (eng. process shutdown) i na napade isključenja sustava (eng. system shutdown). Cilj napadača je zaustavljanje određenog procesa ili svih procesa, na računalu ili mreži. Ukoliko napadač posjeduje privilegirani pristup, ovi napadi se izvršavaju koristeći odgovarajuće naredbe za ubijanje (eng. kill) procesa ili isključenje kompletnog sustava. Primjer: Udaljeno isključenje procesa. Ovim primjerom prikazano je isključenje određenog procesa na udaljenom računalu. Za izvršenje napada koristi se alat RKILL koji je dostupan u sklopu Microsoft Win NT ResourceKita.

Prompt> rkill \kill \\ime-racunala ime-procesa

Preduvjeti za izvršenje ovog napada su da je napadač ostvario udaljeni pristup ciljanom računalu te da poznaje lokalni administratorski račun udaljenog računala. Primjer: Udaljeno isključenje računala. Ovim primjerom prikazano je udaljeno isključenje određenog računala korištenjem alata SHUTDOWN koji je dostupan u sklopu Microsoft Win NT ResourceKita. Korisniku računala pojavljuje se prozor s odgovarajućom porukom "poruka" i obavijesti da će se računalo isključiti za 13 sekundi.

Prompt> shutdown \\ime-racunala /T:13 "poruka" /c

29


Preduvjeti za izvršenje ovog napada su da je napadač ostvario udaljeni pristup ciljanom računalu te da poznaje lokalni administratorski račun udaljenog računala.

4. 3. Krađa informacija Krađa informacija je skupina tehnika računalnih napada na sigurnost računalnih sustava kojima se kompromitira povjerljivost informacija, bilo da se radi o korisničkim datotekama ili osjetljivim informacijama o sustavu koje bi koristile napadačima za izvođenje daljnjih akcija. Obično ovi napadi eksploatiraju servise koji su usredotočeni na pružanje informacije, uključujući da servisi predaju više informacija nego što je predviđeno ili da predaju informacije pogrešnim ljudima. Kod ove skupine tehnike računalnih napada neovlašteno korištenje servisa sustava vrši se bez degradacije servisa, tj. legitimni korisnici nisu ometani u korištenju sustavom. Skupinu računalnih napada krađa informacija možemo klasificirati u sljedeće skupine: pretraživači i prisluškivanje mrežnog prometa.

4. 3. 1. Pretraživači

Pretraživači su alati koji su razvijeni s namjerom saznanja informacija o računalu ili mreži. Ovi alati sastoje se od kolekcije skripti razvijenih od strane administratora sustava ili od napadača na sigurnost računalnih sustava s namjerom istraživanja i skupljanja informacija vezanih uz sigurnost sustava [11]. Pretraživače općenito možemo podijeliti u dvije kategorije, na lokalne i mrežne. Mrežni pretraživači koriste se za pregledavanje udaljenog računala ili serije računala na mreži, dok su lokalni namijenjeni za pregledavanje računala na kojem se izvršavaju. Imamo sljedeće skupine pretraživača:

• Mrežni pretraživači Mrežni pretraživači (eng. network scanners) su programi koji automatski pretražuju računalnu mrežu s namjerom saznanja informacija koje računalo ili servis je dostupan. Primjer: Pregledavanje dijeljenih resursa i dozvola pristupa. Ovim primjerom prikazano je korištenje alata NET VIEW s namjerom pregledavanja dijeljenih resursa određenog računala, te korištenje alata PERMS za pregledavanje dozvola pristupa određenog korisnika određenoj datoteci.

Prompt>net view \\ime-računala

Shared resources at \\ime-računala

Share name Type Used as Comment -------------------------------------------------------- Dokumentacija Disk Sistemska dokumentacija HPLJ1100 Print HP LaserJet 1100 NETLOGON Disk Logon server share

30


Prompt>perms domena\username \\ime-računala\ime-sharea\*.doc \\ime-računala\ime-sharea\dokument.doc perms: RWXDPOA \\ime-računala\ime-sharea\ dokument2.doc perms: R-X---- \\ime-računala\ime-sharea\ dokument3.doc perms: R-X----

Alat NET VIEW je sastavni dio operacijskog sustava Microsoft NT, dok je alat PERMS dostupan u sklopu Microsoft Win NT ResourceKita. Preduvjeti za izvršenje ovog napada su da je napadač ostvario udaljeni pristup ciljanom računalu te da poznaje lokalni administratorski račun udaljenog računala.

• Pretraživači TCP portova Skupina mrežnih pretraživača koje nazivamo pretraživačima TCP portova, pregledavaju dostupna računala unutar mreže tražeći aktivne TCP portove s namjerom saznanja određenih informacija, na primjer koji od servisa su aktivirani na određenom računalu. Primjer: Proxy pretraživači. Jedan od najčešćih programa za pretraživanje na Internetu su proxy pretraživači. Ova vrsta pretraživača pregledavaju metodom odabira slučajnog uzorka dostupne IP adrese s namjerom detekcije proxy servera. Najčešći TCP portovi koji se koriste za proxy servise su TCP portovi s varijacijama broja 80 (81, 88, 8000, 8080, 8888 itd.) te port 3128 kojeg koristi popularni besplatni proxy server Squid. Primjer: Pregledavanje aktivnih veza i portova. Alat NETSTAT, koji je sastavni dio operacijskog sustava Microsoft NT, koristi se za pregledavanje statistike protokola i aktivnih TCP/IP veza. Ovim primjerom prikazano je pregledavanje svih aktivnih konekcija i portova u odgovarajućem stanju. Također, za izvršenje ove akcije nije potreban privilegirani pristup sustavu, već ovlasti običnog korisnika.

Prompt>netstat -a

Active Connections

Proto Local Address Foreign Address State TCP server:ftp 0.0.0.0:0 LISTENING TCP server:smtp 0.0.0.0:0 LISTENING TCP server:pop3 0.0.0.0:0 LISTENING TCP server:nntp 0.0.0.0:0 LISTENING TCP server:domain 0.0.0.0:0 LISTENING TCP server:80 računalo1:1373 ESTABLISHED TCP server:pop3 računalo1:1364 TIME_WAIT TCP server:nbsession računalo2:1052 ESTABLISHED TCP server:1116 localhost:1119 ESTABLISHED TCP server:1119 localhost:1116 ESTABLISHED

31


• Pretraživači sigurnosnih ranjivosti Pretraživači sigurnosnih ranjivosti sustava (eng. vulnerability scanner) su programi koji pretražuju mrežu u porazi za propustima u dizajniranju, implementaciji i konfiguraciji sustava. Primjer: Pregledavanje ranjivosti udaljenih računala prema C2 sigurnosnoj specifikaciji. Jedan od korisnih administratorskih alata dostupnih dostupan u sklopu Microsoft Win NT ResourceKita je C2Config. Koristeći ovaj alat moguće je lokalno ili udaljeno saznati listu potencijalni sigurnosnih problema nađenih na računalu prema C2 sigurnosnoj specifikaciji od organizacije National Computer Security Center.

Slika 4. 3. 1. 1. Alat C2Config

4. 3. 2. Prisluškivanje mrežnog prometa

Poput telefonskih sustava, računalne mreže su dijeljeni komunikacijski mediji. Razlog tome je jednostavan, vrlo je skupo postavljanje lokalnih čvorova na preklopnicima (eng. switch) za svaki par računala koja bi trebala komunicirati. Pod dijeljenim podrazumijevamo da računala mogu primiti informacije koje su namijenjene drugim računalima. Hvatanje informacija koji putuju mrežom nazivamo prisluškivanjem mrežnog prometa [20]. Alate za prisluškivanje mrežnog prometa koriste administratori mreža s ciljem pregledavanja i detektiranja problema na lokalnim mrežama. Monitoriranjem administratori mreže su u mogućnosti dijagnosticirati probleme u situacijama kada, na primjer, poslužitelj nije u mogućnosti komunicirati s dugim računalima u mreži. Programeri mrežnih aplikacija koriste se alatima za prisluškivanje mrežnog prometa da bi nadzirali i ispravljali (eng. debugging) mrežne aplikacije pri njihovom razvoju.

32


Napadačima na sigurnost računalnog sustava kojima je namjera ostvariti pristup podacima na računalu, pokušavaju se domoći korisničkog računa. Dolazak do tih informacija često je mnogo lakši koristeći programe za prisluškivanje mrežnog prometa (eng. sniffer). Obično ovakvi programi imaju mogućnost automatskog ekstrahiranja korisničkih imena (eng. username), zaporki itd. Najpopularniji način umrežavanja računala je Ethernet. Ethenert protokol radi na način da šalje pakete informacija svim računalima na mreži. Samo uređaj kojemu se podudara adresa prihvaća pakete. Za uređaje koji prihvaćaju sve pakete bez obzira što je u zaglavljima paketa, kažemo da rade u promiskuitetnom načinu rada. U normalnoj mrežnoj okolini, korisnički računi i zaporke putuju mrežom u obliku čistog teksta pa napadačima kada implementiraju uređaj u promiskuitetnom načinu rada, prisluškivanjem mrežnog prometa kompromitiraju sve uređaje u mreži. Primjer: Hvatanje korisničkih računa unutar FTP protokola. Network Monitor je alat kojim se koriste administratori Microsoft NT računalnih sustava za hvatanje i prikaz paketa koje računalo prima s lokalne mreže. Mrežni administratori koriste Network Monitor za detektiranje i rješavanje mrežnih problema. Uhvaćeni paketi mogu biti spremljeni u datoteke te zatim analizirani drugim alatima. Ovim primjerom prikazano je kako se koristan administratorski alat može zloporabiti za hvatanje korisničkih računa unutar FTP protokola koji putuju mrežom. Slikom 4. 3. 2. 1. prikazano je da zaporka (eng. password) korisnika bsvilicic na domeni SIT glasi Sniffer!.

Slika 4. 3. 2. 1. Hvatanje korisničkih računa

33


4. 4. Napadi na zaporke Kompromitiranje povjerljivost zaporki (eng. password) jedno je od najčešćih ranjivosti većine računalnih sustava. Korisnici su nepažljivi pri rukovanju svojim zaporkama, sigurnosnu politiku zaporki teško je provesti u praksi te napadači raspolažu velikim brojem alata kojima su u mogućnosti poraziti sigurnosne mjere i mehanizme zaštite, bilo da je riječ o tehnološkim ili socijalnim (Socijalni inženjering). Ukoliko napadač ostvari pristup korisničkoj zaporki, omogućen mu je legitiman pristup sustavu s dozvolama korištenja sustava određenim korisničkim računom. Korisnički računi najčešći su oblik predstavljanja, autentifikacije koja se koristi u današnjim računalnim sustavima. Iz razloga ekstremne korisnosti, napadi na zaporke jedni su od najčešćih napada na računalne sustave, bilo da je riječ o pojedinačnom sigurnosnom incidentu ili dijelu sigurnosnog incidenta [2]. Skupine najčešćih tehnika računalnih napada na zaporke su pogađanje zaporki, nasilni napad, provaljivanje (eng. cracking) i prisluškivanje.

4. 4. 1. Pogađanje zaporki

Tehnika pogađanja zaporki obuhvaća učestalo unošenje čestih zaporki, manualno ili automatizirano koristeći skripte. Većina korisnika koristi jednostavne zaporke (npr. rođendani, obljetnice, imena bližnjih itd.) nepoštivajući postavljenu sigurnosnu politiku zaporki o korištenju miješanih alfanumeričkih nizova. Iako u praksi napadačima nije potrebno mnogo vremena da bi pogodili zaporku, tehnika pogađanja zaporki obično je neefikasna zbog nezgrapnosti cijelog procesa. Naime, za vrijeme koje je potrebno za pogađanje zaporke, administratori sustava na jednostavan način su u mogućnosti detektirati te spriječiti napad.

4. 4. 2. Nasilna prijava za rad

Tehnika nasilne prijave za rad (eng. logon) koristi istu osnovnu logiku kao i tehnika pogađanja zaporki, ali je znatno brža i efikasnija. Napadači u ovom slučaju obično koriste gotove programe ili skripte, a koje su u mogućnosti velikom brzinom testirati veliki broj često korištenih zaporki. Osnovni cilj ove tehnike je pronaći ispravnu zaporku prije nego što administrator otkrije da netko pokušava neovlašteno pristupiti sustavu. Napadači koji koriste ovu tehniku napada rijetko ostvare pristup zaporki. Naime, ovi napadi na jednostavan način mogu biti detektirani i spriječeni koristeći sigurnosni mehanizam koji zaključava (eng. lock out) korisnički račun u slučaju određenog broja neuspješnih prijava za rad (na UNIX sustavima po osnovi, defaultu tri pokušaja). S duge strane, ovaj sigurnosni mehanizam može biti iskorišten protiv sustava, a u korist napadača. Na primjer, ukoliko napadač identificira administratora sustava (ime korisničkog računa), u mogućnosti je zaključati administratorski račun. U toj situaciji, za vrijeme dok administrator pokušava ostvariti pristup sustavu, napadač nastavlja sa svojim napadom.

34


Primjer: Vrijeme potrebno za pogađanje ispravne zaporke Kod sustava koji koriste za zaporku zapis sastavljen od četiri numeričke znamenke (0 - 9), na primjer bankomati, ukupni broj permutacija je:

10 x 10 x 10 x 10 ili 104 ili 10,000 Ukoliko napadač koristi efikasan alat, program kao što je L0phtCrack [21] koji omogućuje preko 450,000 pogađanja po sekundi (Intel Pentium II CPU jedinica), vrijeme potrebno za pretraživanje svih mogućih kombinacija je:

10,000 X 1 / 450,000 ≈ 0.02 sec

Dakle, zaporki sastavljenoj od četiri numeričke znamenke, na prosječnom PC-u, moguće je ostvariti pristup za 0.02 sekunde – brže od treptaja oka.

4. 4. 3. Provaljivanje zaporki

Provaljivanje (eng. cracking) zaporki je tehnika koja se koristi za ostvarenja pristupa ispravnim zaporkama koje su zaštićene kriptografijom, tj. pohranjene su u kriptiranim datotekama. Kod ove tehnike, napadač prvo mora ostvariti pristup kriptiranim datotekama u kojim su pohranjene zaporke. Naime, većina operacijskih sustava, uključujući UNIX i Microsoft Windows, pohranjuju kriptirane zaporke na datotečni sustav (eng. file system) pri autentifikaciji korisnika za vrijeme prijave za rad. Napadači koriste gotove programe ili skripte koje uključuju i gotove rječnike čestih zaporki. Zapise uzete iz gotovih rječnika čestih zaporki kriptiraju te uspoređuju s pohranjenim kriptiranim ispravnim zaporkama. Ukoliko se kriptirani niz podudara, napadač je ostvario pristup ispravnoj zaporki. Efikasnost ove tehnike najviše ovisi o brzini CPU jedinice i korištenog programa. Prvi programi i skripte za cracking zaporki nisu bile efikasne, ali trenutno slobodno dostupne verzije omogućuju vrlo brzo pretraživanje velikog broja alfanumeričkih kombinacija. Budući da je pri korištenju ove tehnike nužno da napadač ostvari pristup kriptiranim datotekama u kojima su pohranjene ispravne zaporke, najbolja zaštita sustava postiže se ograničavanjem i nadgledanjem dozvola prava pristupa sustavu.

4. 4. 4. Prisluškivanje

Tehnikom prisluškivanja prometa napadači su u mogućnosti ostvariti pristup ispravnim zaporkama koje se koriste, na primjer, za Internet pristup ili prijavu za rad na udaljenom računalu. Ovaj proces je jednostavan ukoliko se zaporke prenose korištenjem protokola koji ne kriptiraju podatke, nego se zaporke prenose u obliku čistog teksta (eng. clear text). Protokoli koji su podložni ovoj vrsti iskorištavanja su FTP, Telnet, HTTP itd.

35


4. 5. TCP/IP napadi lažnim predstavljanjem Tehnika računalnih napada na TCP/IP protokol lažnim predstavljanjem obuhvaća računalne napade zasnovane na sigurnosnim propustima TCP/IP protokola. TCP/IP protokol koji je danas vrlo korišten protokol, sadrži veliki broj ozbiljnih sigurnosnih propusta, bez obzira na način implementacije [22]. Budući da su računalni napadi ove tehnike po sebi fundamentalni za TCP/IP protokol, bilo koji sustav koji pruža ili se koristi mrežnim servisima baziranim na TCP/IP protokolu, potencijalna su meta ovih napada. Računalni napadi zasnovani na ovoj tehnici napada često su zanemarivani jer ih se smatra samo određenom inačicom sigurnosnog incidenta, najčešće napada uskraćivanja resursa (DoS). Slikom 3. 1. 1. prikazano je da se jedan sigurnosni incident sastoji od jednog ili više računalnih napada. Karakteristično za ovu tehniku računalnih napada je da ih napadači koriste u kombinaciji s napadima drugih tehnika da bi ostvarili jedan cilj pa se često događa da su pri analizi zanemareni. Međutim, kao što ćemo vidjeti u nastavku, ovom tehnikom napada moguće je postići puno više, npr. otimanje aktivne TCP veze. Tehnika napada na TCP/IP protokol lažnim predstavljanjem može se općenito podijeliti na slijepe (eng. blind) i vidljive (eng. non blind). Vidljivi napadi lažiranjem paketa su u smislu da su rezultati vidljivi napadaču, dok kod slijepih, napadač ne vidi rezultate. Ova tehnika napada otvara novi niz problema koji čine neke mehanizme namijenjene za zaštitu sigurnosti računalnim sustava neuspješnima. Svi zaštitni mehanizmi namijenjeni za identifikaciju koja se izvršava pri uspostavljanju veze između dvaju udaljenih računala (bilo kriptiranih ili ne), ali ne koriste kriptirani prijenos podataka, moguće je ovakvim napadima prekinuti ili preuzeti vezu. Tehniku napada na TCP/IP protokol lažnim predstavljanjem s obzirom na nivo na kojem se vrši lažno predstavljanje, dijelimo na napade na IP protokol i napade na TCP protokol.

4. 5. 1. Napadi na IP protokol

Tehnika napada na IP protokol lažnim predstavljanjem zasnovana je na lažiranju izvorišne adrese (eng. IP spoofing) [23]. IP spoofing je tehnika računalnih napada kojom se napadač lociran na Internetu ili privatnoj mreži, predstavlja kao povjerljivi, legitimni korisnik neke druge mreže. Ovo je moguće ukoliko napadač unutar IP paketa umetne lažnu IP adresu te pošalje pakete na ciljanu mrežu. U paketima za odredišnu adresu postavljena je adresa napadom ciljanog računala, a za lažnu izvorišnu adresu postavljena je adresa nekog drugog računala koje je član istog segmenta mreže kao i ciljano računalo, slika 4. 5. 1. 1.

36


Odredišnaadresa

Router200.1.1.1200.1.1.2

Ciljanoračunalo

200.1.1.1

200.1.1.2

PovjerljivoračunaloLažna

izvorišnaadresa

Lažiranipaketi

Slika 4. 5. 1. 1. IP spoofing

Važno je primijetiti da je za lažnu adresu računala izvan sustava postavljena izvorišna adresa 200.1.1.2, a koja je ispravna adresa od povjerljivog, legitimnog računala sustava. Kada paketi stignu do usmjerivača (eng. router), usmjerivač će proslijediti pakete na odredište misleći da paketi stižu od povjerljivog računala. Naravno, sve ovo podrazumijeva da na usmjerivaču nije postavljeno filtriranje prometa prema izvorišnim adresama. Primjer: Smurf IP DoS. Najpoznatiji računalni napad ove tehnike napada jest tzv. Smurf IP DoS. Napad se sastoji od dvije osnovne komponente, krivotvorenje paketa ICMP echo upita i usmjerenje paketa na IP broadcast adresu. Internet Control Message Protocol (ICMP) koristi se za rukovanje pogreškama i razmijeni kontrolnih poruka. ICMP najčešće je korišten za utvrđivanje dostupnosti računala na mreži, na način da se pošalje ICMP echo upit te računalo, nakon što primi zahtjev, uzvraća ICMP echo odgovor REPLY. Najčešća implementacija ovog procesa jest PING komanda koja je sadržana u većini operacijskih sustava i mrežnih programskih paketa. Kod računalnih mreža zasnovanih na IP protokolu, paketi mogu biti usmjereni na pojedinačnu IP adresu ili na IP broadcast adresu, tj. na sva dostupna računala unutar mreže. IP broadcast adrese su često mrežne adrese čiji čitav dio vezan za host sadrži jedinice. Na primjer, IP broadcast adresa za mrežu 10.0.0.0 jest 10.255.255.255. Sljedećom slikom prikazan je tijek napada te su opisani pojedini koraci napada.

37


Privatna mreža

InternetNapadač

Ciljano računalo

1.

2.

3.

4.

1. Napadač upućujebroadcast PING naprivatnu mrežukoristeći (lažiranu)IP adresu ciljanogračunala

2. Broadcast PINGna sva računalaprivatne mreže

3. Svako pojedinoračunalo šalje ICMPecho odgovor naciljano računalo

4.Ciljano računalozasuto je PINGodgovorima

Slika 4. 5. 1. 2. Smurf IP DoS Zaštita računalnog sustava od ove vrste napada je jednostavna, a sastoji se od konfiguracije usmjerivača (eng. router) na način da usmjereni IP broadcast bude onemogućen.

4. 5. 2. Napadi na TCP protokol

Tehnika računalnih napada na TCP protokol, poznati i kao napadi na sekvencijalne brojeve (eng. sequence number attack), su računalni napadi kod kojih se napadači koriste TCP sekvencijalnim brojevima za slanje paketa koji izgledaju legitimno, tj. slanje lažnih paketa [24]. Naime, pri uspostavi svih TCP prijenosa podataka, klijent i poslužitelj razmjenjuju niz sekvencijalnih brojeva koji se koriste za potvrđivanje primljenih podataka. Sljedećom slikom prikazan je tijek prijenosa poruka:

C - klijentS - poslužiteljSYN - sinkronizacijaACK - potvrdaISN - inicijalnisekvencijalni broj

C S: SYN(ISNC)S C: SYN(ISNS), ACK(ISNC)C S: ACK(ISNS)C S: podaci

i/iliS C: podaci

Slika 4. 5. 2. 1. Tijek prijenosa poruka pri uspostavi TCP prijenosa podataka

Ukoliko je napadač sposoban predvidjeti ISNS, u mogućnosti je lažno se predstaviti kao povjerljivo, ovlašteno računalo T i uspostavi TCP prijenos podataka s poslužiteljem slanjem sljedećih sekvenci:

38


X - napadačT - povjerljivo računalo

X S: SYN(ISNX), SRC=TS T: SYN(ISNS), ACK(ISNX)X S: ACK(ISNS), SRC=TX S: ACK(ISNS), SRC=T, zlonamjerni podaci

Slika 4. 5. 2. 2. Lažno predstavljanje kao povjerljivo računalo

Budući da paketi putuju mrežom moguće je ostvariti pristup sekvencijalnim brojevima i brojevima prihvata. Najjednostavniji način ostvarenja pristupa jest prisluškivanje mrežnog prometa. Alternativni način je determiniranje algoritma korištenog za generiranje sekvencijalnih brojeva te njegovim korištenjem za slanje lažnih paketa. Naime, većina proizvođača, s namjerom zaštite od ove tehnike napada, implementiraju u produkte mehanizme za pseudoslučajno odabiranje sekvencijalnih brojeva. Kako su ovi brojevi izrazito bitni za ostvarenje veze između dvaju udaljenih računala, ove tehnike napada su relativno jednostavne i uspješne, ali ograničene na vezu između dvaju udaljenih računala. Osnovni računalni napadi koji proizlaze iz ove tehnike su napadi kojima se prekidaju prijenosi podataka koji su u tijeku (eng. connection killing), otimanje aktivne veze (eng. connection hijacking) i preopterećenje lažnim SYN paketima paketa (eng. SYN flood) [25]. Primjer: Prekid prijenosa podataka. Primjer računalnog napada koji je zasnovan na tehnici napada na sekvencijalne brojeve jest prekidanje prijenosa podataka koji su u tijeku (eng. connection killing). Nužan preduvjet ovog napada je da se sva tri računala (računalo klijenta, poslužitelj s kojim korisnik komunicira i napadačevo računalo) nalaze na istom segmentu mreže, kao što je prikazano sljedećom slikom.

Klijent Poslužitelj

Napadač

Slika 4. 5. 2. 3. Uvjet za izvršenje napada na TCP protokol Dva su načina na koje je moguće prekinuti prijenos podataka između dvaju udaljenih računala:

• Resetiranje veze U zaglavljima TCP paketa nalaze se određeni bitovi koji služe kao zastavice koje iskazuju stanje paketa. RST (eng. reset) zastavica koristi se za resetiranje, odnosno prekidanje veze između dvaju udaljenih računala. Da bi poslužitelj prihvatio zahtjev za resetiranjem veze potrebno je samo da napadač postavi

39


ispravni sekvencijalni broj zaglavlju poslanog TCP paketa, budući da se ne koristi ACK polje u paketu koji je označeno RST zastavicom.

• Završetak veze Druga zastavica u zaglavlju TCP paketa kojom je moguće prekinuti vezu jest FIN (eng. finish) zastavica. Paketi sa ovakvim stanjem koriste se prilikom legitimnih prekidanja veza između dvaju udaljenih računala. Dakle, u ovom slučaju, cilj napadača je natjerati bilo koje računalo od dvaju udaljenih računala da prihvati paket koji ima postavljenu FIN zastavicu. Ako jedno od računala prihvati takav paket, ono će povjerovati da pošiljatelj paketa više neće slati nikakve podatke. Zanimljiva činjenica u slučaju ovih napada jest da nakon poslanog paketa sa postavljenom FIN zastavicom, drugo računalo uvijek šalje odgovor o prihvaćanju istog, tako da u ovom slučaju napadač može biti potpuno siguran u uspješnost napada.

Primjer: Otimanje aktivne TCP veze. Najvišim nivoom ove tehnike napada smatramo otimanje aktivne TCP veze (eng. connection hijacking) između dvaju udaljenih računala. Osnovni preduvjet isti je kao i u prethodnom slučaju te prikazan je slikom 4. 5. 2. 3. TCP/IP stack razlikuje ispravne od neispravnih paketa prema njihovom sekvencijalnom broju i broju prihvata (SEQ/ACK), tj. poslužitelj vjeruje paketima koje je dobio od klijentskog računala upravo zbog ispravnog sekvencijalnog broja i broja prihvata paketa. Ukoliko napadač uspije promijeniti ispravnost sekvencijalnih brojeva i brojeva prihvata paketa koji stižu od strane klijentskog računala, poslužitelj će prestati prihvaćati te pakete. Nakon toga, napadač može nastaviti slati lažne pakete predstavljajući se kao klijentsko računalo, ali sada koristeći ispravne sekvencijalne brojeve i brojeve prihvata paketa, tj. brojeve koji su ispravni za poslužiteljsko računalo. Primjer: Preopterećenje lažnim SYN paketima. Jedan od najčešćih napada na Internetu jest preopterećenje ciljanog računala (napad na raspoloživost resursa sustava, DoS) slanjem velikog boja lažnih SYN paketa (eng. SYN flood). Ovaj napad realizira se na način da se uzastopno usmjeruje veliki broj SYN upita, a koji za izvorišnu adresu sadržavaju lažne (eng. spoof) IP adrese. Svaki od pojedinih upita prouzrokuju da ciljano računalo uzastopno pokušava potvrditi upit slanjem SYN/ACK paketa. Budući da su izvorišne adrese lažne, ciljano računalo strpljivo će čekati određeno vrijeme na odgovore na svaki pojedini poslani SYN/ACK paket prije nastavka poduzimanja uobičajenih postupaka.

Napadač Ciljano računaloSYN upiti SYN potvrde(lažne adrese)

Slika 4. 5. 2. 4. Preopterećenje lažnim SYN paketima

40


Ukoliko je napadač poslao na ciljano računalo dovoljan broj SYN upita, postoji mogućnost da se slanjem potvrda zauzmu svi slobodni resursi za otvaranje novih TCP sesija te na taj način računalo bude nedostupno. Dakle, problem je u tome što je vrijeme čekanja relativno veliko, a broj resursa relativno malen.

4. 6. Socijalni inženjering Socijalni inženjering predstavlja tehniku računalnih napada kojom napadači ostvaruju neovlašteni pristup osjetljivim informacijama ili privilegijima, a koja je zasnovana na izgradnji neprikladnog i povjerljivog odnosa s legitimnim korisnikom sustava. Možemo reći da je tehnika računalnih napada socijalni inženjering umjetnost manipulacije ljudima sa stvarima koje u normalnoj situaciji nisu moguće [26]. Cilj socijalnog inženjeringa je prijevarom natjerati legitimnog korisnika na otkrivanje osjetljivih informacija ili pristupa tim podacima. On se bazira na kvalitetama ljudske prirode kao što su želja za pomaganjem, sklonost vjerovanju ljudima i strahu od upadanja u nevolje. Znak uspješnog napada socijalnim inženjeringom je prikupljanje informacija bez ostavljanja ikakve sumnje kod legitimnog korisnika [27]. Ljudi su obično najslabija veza u sigurnosnom lancu, a socijalni inženjering najefikasnija metoda stjecanja osjetljivih informacija. Obučeni socijal inženjeri pokušati će iskoristiti ovu vrstu ranjivosti prije trošenja vremena i snage na druge metode, na primjer razbijanje (eng. cracking) zaporki. S druge strane, socijalni inženjering je najteži oblik napada jer protiv njih nije dovoljna samo hardwareska i softwareska zaštita. Uspješna zaštita ovisi o implementiranoj sigurnosnoj politici i edukaciji korisnika da se koriste svojim računalima prema definiranim pravilima i procedurama. Socijalni inženjering možemo razdvojiti u sljedeće dvije kategorije: socijalni inženjering baziran na ljudskom faktoru i računalni socijalni inženjering.

4. 6. 1. Socijalni inženjering baziran na ljudskom faktoru

Socijalni inženjering baziran na ljudskom faktoru odnosi se na direktnu interakciju napadača s legitimnim korisnikom sustava s namjerom stjecanja željene informacije. Metode kojima se koriste socijal inženjeri možemo svrstati u sljedeće skupine:

• Predstavljanje Istraživanja pokazuju da je HelpDesk najčešća meta napada socijalnog inženjeringa. Napadač se, na primjer, telefonski obraća HelpDesku predstavljajući se kao legitimni korisnik. Tvrdeći da je zaboravio zaporku te potražuje od HelpDeska resetiranje zaporke.

• Važni korisnici Čest slučaj je da se napadači ne predstavljaju samo kao zaposlenici, nego, na primjer, kao izvršni direktori ili neke druge važne osobe s namjerom zastrašivanja. Zaposlenici HelpDeska teško će odbiti zahtjev izvršnog direktora koji tvrdi da u roku od 10 minuta mora doći do važnih podataka potrebnih za sastanak. Također, u ovoj situaciji napadač može prijetiti s izvještajem rukovoditelju ukoliko mu se ne pruži tražena informacija.

41


• Autorizacije trećom osobom Socijal inženjer može doći do informacija koristeći autoritet zaposlenika koji navodno garantira pristup informacijama. Napadač se obraća HelpDesku ili administratoru sustava tvrdeći da je “gospodin direktor” odobrio da mu se daju određene informacije.

• Tehnička podrška Napadač se može pretvarati da je iz odijela za tehničku podršku korisnicima pitajući ih imaju li problema s računalom. Često je odgovor pozitivan nakon čega napadač potražuje od korisnika zaporku s izgovorom da mu je potrebna za ispravljanje pogreški na računalu.

• Osobno Napadač može fizički doći na lokaciju te se pretvarati kao zaposlenik ili posjetitelj. U ovoj situaciji napadači traže naljepnice sa zaporkama na računalima, važne podatke na stolovima zaposlenika, prisluškuju povjerljive razgovore ili gledaju preko nečijeg ramena s namjerom gledanja što zaposlenik utipkava prigodom unošenja zaporke. Socijal inženjeri često unajmljuju zaposlenike za dobavljanje osjetljivih informacija.

4. 6. 2. Računalni socijalni inženjering

U ovom slučaju napadači koriste programske pakete kojima pokušavaju pristupiti željenim informacijama. Metode kojima se koriste socijal inženjeri možemo svrstati u sljedeće skupine:

• Pojavljujući (eng. popup) prozori Na ekranu se pojavljuje prozor kojim se traži od korisnika ponovni unos zaporke. Program instaliran od strane napadača zatim, na primjer, e-mail porukom šalje informacije napadaču.

• Privitak e-mail poruke Zlonamjerni programi mogu biti skriveni u privitku e-mail poruke. Nazivi privitaka su često imena koja mame korisnike da ih aktiviraju. Najnoviji primjer je računalni virus “Anna Kournikova”. Napadači pokušavaju skriti ekstenziju datoteke privitka davajući duga imena. Tako u ovom slučaju naziv privitka je AnnaKournikova.jpg.vbs. Ukoliko je ime skriveno, tj. nije u potpunosti vidljivo tada će izgledati kao JPG datoteka i korisnik neće primijetiti VBS ekstenziju, te će aktivirati računalni virus misleći da otvara sliku Anne Kournikove.

• Lažne obavijesti Lažne obavijesti tzv. hoaxi ("patka", šala, prijevara) su lažni opisi nepostojećih, iznimno opasnih virusa i distribuiraju se putem elektroničke pošte. Često koriste naizgled stručno-tehničku terminologiju za iznošenje impresivnih, ali nemogućih lažnih tvrdnji. Oni ne nude rješenje problema, već potiču paniku i zabunu. Vrlo često neistinito se pozivaju na autoritet i potvrdu opasnosti od poznatih informatičkih poduzeća. Također, od vas traže da lažno upozorenje proslijedite svim svojim prijateljima, kolegama ili poznanicima. Ovakve poruke ne prouzrokuju gubitak informacija ili fizičko uništenje, ali prouzrokuju smanjenje produktivnosti, zauzimaju određeni dio mrežnih resursa i narušava reputaciju onih koji ih distribuiraju.

42


Primjer: Lažna obavijest. Ovim primjerom prikazan je sadržaj jedne lažne obavijesti distribuirane putem elektroničke pošte. Predmet poruke je Novi virusi.

Otkrivena su dva nova virusa koji dolaze putem e-maila pod naslovom: CALIFORNIA IBM i GIRL THING. Microsoft obavjescuje da su vrlo jaki, jos jaci od nedavne posasti pod naslovom "Love". Za njih nema lijeka. Gutaju svaku informaciju s hard-diska, unistavaju: Netscape Navigator i Microsoft Internet Explorer. Ne otvarajte nista pod gornjim naslovima. Opasnost je veca jer je relativno malo ljudi upoznato! Jos je jedna poruka koju UCL salje s molbom da cirkulira sto je moguce sire: Ako primite putem e-maila poruku s dodatkom za ekran (screensaver) naslovljenu BUDDLY SIP, ni u kom je slucaju nemojte otvarati. Odmah je izbrisite. Kad biste ju otvorili izgubili biste sve datoteke s Vaseg hard-diska. Zna se samo da je taj virus lansiran prije pet dana i da je rijec o novom iznimno opasnom virusu. Proslijedite ove poruke na sto veci broj adresa. Bude li mnostvo ljudi upozoreno o tom virusu, propast ce njegova namjena. AOL potvrdjuje da je taj virus iznimno mocan, nijedan ga program ne moze unistiti.

• Javni trikovi Javni trikovi predstavljaju pružanje nečeg besplatnog ili šanse za osvajanjem prestižne nagrade na Web stranici. Da bi korisnik osvojio nagradu mora upisati e-mail adresu i zaporku. Većina korisnika će upisati istu zaporku koju koristi na radnom mjestu.

Primjer: Ljubavno pismo. Popularni primjer socijalnog inženjeringa je računalni crv ILOVEYOU koji je baziran na psihološkoj potrebi i želji ljudi da budu voljeni. Koristeći ovu tehniku računalnih napada, napadač ne treba znati korisnički račun ili neku od sigurnosnih informacija, nego se koristi prijevarom predstavljajući se korisniku poznatom osobom. Trenutno Internetom cirkulira mnogo varijanti ovog crva, a sva kreativnost autora računalnog crva nalazi se u subject lineu ili sadržaju e-mail poruke. Sljedećom slikom prikazana je jedna takva poruka.

43


Slika 4. 6. 2. 1. Ljubavno pismo

44

Klasifikacija sigurnosnih rizika

5. Klasifikacija sigurnosnih rizika Klasifikacija jest proces korištenja terminologije za razdjeljivanje i uređenje sveukupnog znanja određenog područja istraživanja. To je shema, program koji razdjeljuje sveukupno znanje na određenom području te definira međusobne odnose pojedinih dijelova [28]. Također, potrebno je imati u vidu da je klasifikacija aproksimacija stvarnosti koju koristimo za bolje razumijevanje određenog područja. Budući da je riječ o aproksimaciji, postoji mogućnost odstupanja u određenim karakteristikama. Ovo je čest slučaj ukoliko su karakteristike podataka koje klasificiramo netočne ili nepouzdane. Pored toga, klasifikacija je važan i nužan proces sistematičnog proučavanja određenog područja. Klasifikacija sigurnosnih rizika služi za prepoznavanje potencijalnih sigurnosnih rizika određenog računalnog sustava, a temelji se na definiranoj terminologiji sigurnosnih incidenata (poglavlje 3., Terminologija sigurnosnih incidenata). Također, klasifikacija je korisna pri razvoju i rješavanju zahtjeva sigurnosne politike sustava, pri razvoju novih sustava i procjenjivanju postojećih sustava, pri utvrđivanju relativne frekvencije neovlaštene aktivnosti itd. Univerzalan model klasifikacije sigurnosnih rizika ne postoji budući da ovisi o arhitekturi računalnog sustava, implementiranoj tehnologiji, namjeni sustava itd. Ovim poglavljem predstavljen je primjer općenitog modela klasifikacije. Osnovni kriteriji po kojima se vrši klasifikacija sigurnosnih rizika jesu:

• motivacija (poticajni razlog izvršenja računalnog napada)

• napadač (tko ugrožava sigurnost računalnog sustava)

• računalni napad (ključni elementi računalnog napada)

• svrha (svrha izvršenja računalnog napada). Računalni napad predstavlja najmanje jednu neovlaštenu aktivnost nad resursima sustava, bilo da je samo pokušaj ili je uspješno izvršena. Budući da se sigurnosni incidenti sastoje od jednog ili više računalnih napada, vršimo klasifikaciju po ključnim elementa prema kojima ih međusobno razlikujemo, odnosno prema ranjivostima računalnih sustava, ostvarenom pristupu sustavu, metama računalnih napada te rezultatu pojedinog računalnog napada.

5. 1. Motivacija Prvi osnovni kriterij klasifikacije sigurnosnih rizika računalnih sustava jest Motivacija. Motivacija napadača predstavlja poticajni razlog, odnosno pobudu za izvršenjem računalnog napada. Koristeći terminologiju utvrđenu poglavljem 3. 1. 1., Motivacija, motivaciju možemo svrstati u sljedeće skupine:

• zabava

• korist

• osveta

• znatiželja

• samodokazivanje.

45


Budući da je motivacija napadača početna točka sigurnosnih incidenata, utvrđene kategorije motivacija možemo koristiti kao osnovni kriterij klasifikacije sigurnosnih rizika. Poznavanjem i analizom motivacija napadača možemo doći do mnoštva zanimljivih informacija o tome što, kada, gdje i na koji način će napadač vjerojatno napasti.

5. 2. Napadači Sljedeći osnovni kriterij klasifikacije sigurnosnih rizika računalnih sustava jest Napadač. Napadačem nazivamo osobu koja izvršava neovlaštene aktivnosti s ciljem ugrožavanja sigurnost resursa računalnog sustava. S jedne strane, napadači su mladi, teenageri željni izazova koji igrajući se svojim računalima i modemima ugrožavaju sigurnost računalnih sustava. S druge strane, to su ekstremno opasni kriminalci opremljeni profesionalnom opremom, koji napadaju računalne sustave iz terorističkih, špijunaže ili drugih razloga. U sredini, nalaze se nezadovoljni i zlonamjerni korisnici koji iskaljuju bijes osvećujući se kolegama. Koristeći terminologiju utvrđenu poglavljem 3. 1. 2., Napadači, napadače možemo svrstati u sljedeće skupine:

• hackeri

• profesionalni kriminalci

• zlonamjerni korisnici

• vandali

• špijuni

• teroristi. Napadači su izvršitelji sigurnosnih incidenata, a međusobno ih razlikujemo prema njihovim osobinama, odnosno prema motivima i namjerama koje pokušavaju ostvariti. Stoga, logično je korištenje podjele napadača prema njihovim osobinama kao osnovnog kriterija klasifikacije sigurnosnih rizika.

5. 3. Ranjivost Klasifikacija sigurnosti rizika računalnih sustava koristeći računalnu ranjivost spada pod Računalnim napadom kao osnovnim kriterijem klasifikacije sigurnosnih rizika. Računalna ranjivost (eng. computer vulnerability) predstavlja pukotinu, propust u sigurnosti računalnog sustava, a definiramo je kao nedostatak, slabost u dizajniranju, implementaciji i konfiguraciji sustava [29]. U slučaju kada je ranjivost sustava eksploatirana, napadač koristeći ranjivost u mogućnosti je steći određene ovlasti nad računalnim sustavom koje mu pružaju mogućnost kompromitiranja sigurnosti sustava. Rezultat je sigurnosni incident. Tri osnovne kategorije računalnih ranjivost su: logičke pogreške, slabosti računala i propusti sigurnosne politike.

46


5. 3. 1. Logičke pogreške

Logičke pogreške definiramo kao propuste napravljene pri programiranju ili dizajniranju programske podrške, pored kojih i savršena implementacija rezultira s ranjivošću sigurnosti sustava. Kompleksnost programiranja, operacijskih sustava i sigurnosnog dizajna povećavaju sveukupni sigurnosni rizik sustava. Osim toga, pogodnosti namijenjene korisnicima ujedno su i pogodnosti za napadače, odnosno dobre namjere često stvaraju gigantske pukotine u sigurnosti sustava. Najvažniji aspekt logičkih pogrešaka jest što je potreban ekstremno kratak vremenski period da se pri interakciji s računalom kompromitira sigurnost te zahtjeva vrlo malo ljudskog utjecaja za aktiviranje. Logičke pogreške možemo grupirati po sljedećim skupinama:

• Operacijski sustav Sva programska podrška usko je povezan s ranjivostima operacijskog sustava. Ranjivosti operacijskog sustava su najdirektnije metode napada jer posjeduju kratko vrijeme reakcije, vrlo predvidljiv rezultat i velika je vjerojatnost da isti problem postoji na svim računalima istog tipa. Ranjivosti ove vrste obično su najvišeg prioriteta kod timova za sigurnosne incidente.

• Aplikacija Pod aplikacijom podrazumijevamo bilo što od video igre do web poslužitelja. Pogreške u aplikacijama, kao i pogreške u operacijskim sustavima, su s najvećim brzinama izvršenja, ali zahtijevaju više osobnog, direktnog dodira. Ponekad se pogreške ne manifestiraju dok se ne zadovolji određeni uvjet, stvarajući na taj način aktualnu automatizaciju složenom. Ipak, kritična interakcija zahtjeva od napadača lociranje specifičnosti koje računalo izvršava ciljanu aplikaciju.

• Dizajn mrežnih protokola U mnogo slučajeva, aktualna komunikacija između slojeva je previše složena za ispravno dizajniranje. Većina mrežnih protokola su vrlo povjerljiva pri uspostavi komunikacije među računalima te je lažno predstavljanje dosta jednostavno izvedivo.

5. 3. 2. Slabosti računala

Sljedeća skupina računalnih ranjivosti su računalne slabosti. Ova skupina vrlo je slična s ranjivostima, tako da može doći do konfuzije. Za ranjivosti uvijek postoje rješenja, dok za slabosti ne. Kao što se kaže "lanac je onoliko jak koliko je jaka najslabija veza", mnogi jaki elementi sigurnosti sustava lako mogu biti zaobiđeni jednostavnim rješenjima. Mnogi drugim jakim elementima kroz vrijeme se karakteristike degradiraju iz razloga što tehnologija napreduje u smjeru poražavanja svojih vlastitih prethodnih poboljšanja. Opći primjeri kritičnih elemenata sigurnosti koji trpe od ove skupine ranjivosti su:

• Kriptografija Kriptiranje informacija se mnogo puta dokazalo kao jedna od najboljih metoda poboljšavanja računalne sigurnosti. Sigurnije je koristiti se kriptografijom nego raditi bez nje, ali ignoriranje slabosti kriptografije može prouzročiti ozbiljne

47


sigurnosne probleme. Sve kriptografske tehnike u sebi sadrže sljedeće moguće propuste: Kriptografski prečaci

Mnoge tehnike kriptografije omogućuju korištenje optimizacije i prečaca (eng. short cut) za operacije s namjerom povećanja brzine. U tom slučaju neke od metoda kriptiranja potpuno se zaobilaze i omogućuju na taj način laku ili čak direktnu konverziju kriptiranih informacija u čisti tekst.

Brzina računala Kriptografske metode obično su izrađene u skladu s vremenom kad su kreirane te su bazirane na prihvatljivom vremenskom intervalu potrebnome za izračunavanje. Ukoliko kriptografija uzima previše vremena za izračunavanje, nije upotrebljiva za većinu aplikacija. Međutim, ukoliko je prebrza, nije dovoljno sigurna.

Slučajni ključevi U slučajevima kada korisnici izabiru loše zaporke ili je jednostavno pratiti korake dohvaćanja slučajnih vrijednosti ili su ključevi jednostavni za pogađanje pa je sveukupna kriptografija informacija uzaludna.

• Sigurnost zaporki Sigurnost zaporki, tj. korištenje nesigurnih zaporki, jedna je od najslabijih točaka sigurnosti sustava. Praktično većina oblika sigurnosti usmjerena su na korištenje zaporki u određenoj formi. U slučaju korištenja lako pogađajućih zaporki i solidne metode kriptiranja ne uspijevaju dovoljno dobro zaštiti.

• Sigurnosni hashes Sigurnosni hashes je vrijednost koja je dobivena unošenjem serije informacija u određeni algoritam. Cijeli postupak nije (ili ne bi trebao biti) reverzibilan, a ideja je da svaka vrijednost bude jedinstvena. Na primjer, većina zaporki sprema se u formi hashea s namjerom skrivanja aktualne zaporke. Ranjivost korištenja sigurnosnog hashea proizlazi iz mogućnosti ponovnog izdavanja (lažnog) hashea. Također, hashe koji je teško "razvaliti" s trenutno snagom komercijalnih CPU jedinica možda neće biti za, na primjer, pet godina.

• Zastarjelost sklopovlja i programske podrške Računalno sklopovlje i programska podrška kroz vrijeme se detaljno proučava s ciljem prepoznavanja problema koji mogu ugroziti sigurnost sustava. Ovaj problem rješava se dogradnjom komponenti. Svjedoci smo da zadnjih godina, na primjer, proizvođači operacijskih sustava (Windows, Solaris, HP-UX, Linux itd.) godišnje objave na desetke otkrivenih ranjivosti.

• Ljudski faktor - korisnici Najjači element računalne slabosti dolazi od ljudskog faktora. Tome je jako mnogo razloga, od neznanja i neupućenosti do sabotaže nezadovoljnih korisnika.

• Ljudski faktor – administratori sustava Slabosti računalnih sustava prouzrokovane ljudskim faktorom su implementacija i konfiguracija računalnog sustava. Pod implementacijom podrazumijevamo slabost sustava uzrokovanu pogreškom napravljenom pri implementaciji željenog dizajna. Druga skupina slabosti ove vrste proizlazi iz pogreške

48


napravljane u konfiguraciji sustava. Na primjer, računi (eng. accounts) sustava s osnovnim (eng. default) zaporkama, postavljene “everyone full control” dozvole pristupa za nove datoteke itd.

5. 3. 3. Propusti sigurnosne politike

Sigurnosna politika definira pravila po kojima se korisnici računalnog sustava određene organizacije trebaju ponašati i koristiti resurse sustava, što pojedina organizacija smatra važnim te specificira na koji način je potrebno zaštititi te važne informacije. Dakle, jednu od ranjivosti sigurnosti računalnih sustava predstavljaju propusti sigurnosne politike. U slučaju neplanirane situacije, na primjer, neovlaštenog upada u računalni sustav, prvo pitanje jest "što dalje?". Ukoliko administrator sustava nije pripremljen ili se do tada nije našao u sličnoj situaciji, napadač je u mogućnosti izvući se.

5. 4. Pristup Klasifikacija s obzirom na pristup spada pod Računalnim napadom kao osnovnim kriterijem klasifikacije sigurnosnih rizika. Napadači da bi izvršili određenu akciju na meti napada s ciljem ostvarenja svojih namjera, potrebno je da ostvare pristup meti napada. Pristup (eng. access) definiramo kao sposobnost izvođenja željenih aktivnosti na meti napada, odnosno kao uspostavljanje logičke ili fizičke komunikacije ili kontakta. Sigurnosne incidente s obzirom na pristup kojeg je potrebno da napadači ostvare možemo podijeliti na neovlašteni pristup i neovlašteno korištenje.

5. 4. 1. Neovlašteni pristup

Neautorizirani ili neovlašteni pristup je kada napadač zaobiđe kontrolu pristupa te mu je omogućeno neovlašteno korištenje računala ili mreže. Sigurnosni incident neautoriziranog pristupa grupiramo po skupinama prema uspješnosti ostvarenja pristupa. To su potpune ili administratorske ovlasti, korisnički pristup i pokušaj pristupa.

• Administratorske ovlasti Ova skupina neautoriziranih pristupa predstavlja najviši nivo pristupa, tj. pristup s potpunim, administratorskim ovlastima, a koja ukazuje da je neautorizirana privilegija pristupa uspješno ostvarena preko najmanje jednog računalnog napada za vrijeme jednog sigurnosnog incidenta ili pristup administratorskim ovlastima ostvaren je na najmanje jednom računalu.

• Korisnički pristup Skupina korisničkog pristupa, tj. pristup kod kojeg korisnik nije u mogućnosti mijenjati postavke sustava i pokretati sve, nego određene aplikacije, a koja ukazuje da je neautorizirana privilegija pristupa uspješno ostvarena preko najmanje jednog računalnog napada za vrijeme jednog sigurnosnog incidenta ili pristup korisničkim ovlastima ostvaren je na najmanje jednom računalu.

• Pokušaj pristupa

49


Posljednja skupina grupiranja je pokušaj pristupa. Ova skupina obuhvaća sigurnosne incidente koji ukazuju da je isproban pokušaj pristupa na najmanje jednom računalu, ali bez uspješnog ostvarenja pristupa.

Ovo grupiranje sadrži mnogo varijacija u tome što ostvarenje pristupa ili sam pokušaj uključuju - bilo što od jednog računala do tisuće računala ili od jedne domene do stotine domena. Pored toga, grupiranje nam daje neke indikacije o nivou opasnosti. Sigurnosni incident koji sadržava pristup s administratorskim ovlastima općenito je mnogo opasniji od ostalih ili sigurnosni incident koji sadrži uspješno ostvareni pristup, potrebno je opreznije analizirati od onih koji uključuju samo pokušaj pristupa.

5. 4. 2. Neovlašteno korištenje

Napadači da bi ostvarili svoje namjere, pored ostvarenja neautoriziranog pristupa, služe se i neovlaštenim korištenjem resursa računalnih sustava. Kako bi stekli bolji uvid, sigurnosne incidente neovlaštenog korištenja resursa možemo svrstati u sljedeće kategorije:

• Uskraćivanje usluga Pod uskraćivanjem usluga podrazumijevamo namjerni ili nenamjerni napad na raspoloživost resursa računalnih sustava, odnosno ovi napadi dizajnirani su s namjerom sprječavanja legitimnih korisnika u korištenju sustavom. Ovim napadima ne uništavaju se nužno podaci direktno ili permanentno, ali se namjerno narušava raspoloživosti resursa.

• Korupcija informacija Korupcija informacija podrazumijeva neovlaštenu izmjenu resursa računalnih sustava. Dobar primjer ove skupine neovlaštenih izmjena resursa jest tzv. mail spoofing kod kojeg se from adresa e-mail poruke krivotvori.

• Razotkrivanje informacija Pod ovom skupinom podrazumijevamo sigurnosne incidente gdje je namjera napadača razotkrivanje informacija, tj. neovlašteni pristup informacijama na računalu ili mreži. Najčešći sigurnosni incidenti ove skupine vezani su za situacije prisluškivanja mrežnog prometa koji koriste protokole bez zaštite podataka (FTP, Telnet itd.).

5. 5. Mete napada Računalni napad predstavlja neovlaštenu aktivnost usmjerenu na resurse računalnih sustava, tj. na metu, cilj napada. Klasifikaciju sigurnosnih incidenata prema meti računalnih napada možemo opisati koristeći se terminologijom utvrđenom poglavljem 3. 2. 5., Meta. Općenito, mete ili objekte računalnih napada možemo podijeliti na logičke i fizičke.

50


5. 5. 1. Logičke mete napada

Logičke mete sastoje se od tri entiteta – računi, procesi i podaci. Sigurnosne incidente prema logičkoj meti ili objektu računalnih napada možemo klasificirati u sljedeće skupine:

• Računi Kod višekorisničkih računalnih sustava, račune općenito dijelimo na lokalne, individualne račune i udaljene, mrežne ili račune domene: Mrežni računi

Mrežni ili računi domene uključuju račune kontrolirane datotekama i procesima kojima se korisnici sustava predstavljaju, autoriziraju sustavu. Ukoliko sustav utvrdi podudarnost korisničkih informacija, korisniku je dopušten pristup sustavu s odgovarajućim dozvolama za rad. Ovim načinom prijave za rad moguć je pristup i korištenje i drugim računalima na mreži te je moguća prijava za rad na svim računalima koja su uspostavila povjerenje domene.

Lokalni računi Lokalni računi vezan je za računalo na kojem se prijavljujemo za rad. Ovim načinu prijave za rad ne dobivamo povjerenje domene, tj. moguć je rad samo na lokalnom računalu.

Račune prema posebnim ovlaštenjima za korištenje sustava možemo općenito podijeliti na administratorske (ili root račun ili superuser račun), privilegirane (ili power user račun ili operater račun) i korisnički račun: Administratorski računi

Administratorski računi omogućuju najviši nivo pristupa i korištenja sustavom, tj. pristup i korištenje sustava s potpunim, administratorskim ovlastima.

Privilegirani računi Privilegirani računi omogućuju izvršavanje većine administratorskih akcija nad sustavom, ali s nekim ograničenjima određenim od strane administratora sustava. Na primjer, na Microsoft NT operacijskim sustavima, članovi skupine "Backup Operators" u mogućnosti su mijenjati samo restrikcije na sustavu vezane uz arhiviranje i oporavak podataka.

Korisnički računi Korisnički računi omogućuju pristup i korištenje sustava kod kojeg nije moguće mijenjati postavke sustava i pokretati sve, nego samo određene aplikacije, dozvoljene od strane administratora sustava.

• Procesi Proces je u osnovi program u izvršenju.

• Podaci Podatke definiramo kao prezentaciju činjenica, koncepata ili instrukcija u obliku pogodnom za komunikacije, interpretaciju ili procesiranje. Općenito, podaci mogu biti u dvjema različitim formama, datoteke podataka i podaci u prijenosu.

51


Datoteke podataka Pod datotekama podataka podrazumijevamo podatke pohranjene u formi datoteka pohranjenih u memoriji računala ili na nekom od uređaja za pohranu podataka. Datoteke podataka dalje možemo podijeliti na korisničke datoteke (dokumenti, slike itd.) i datoteke sustava (konfiguracijske datoteke, datoteke zaporki itd.).

Podaci u prijenosu Podaci u prijenosu predstavljaju formu podataka u prijenosu kroz medije za prijenos.

5. 5. 2. Fizičke mete napada

Fizički ciljevi se sastoje od komponenata, računalnih uređaja i mreže. Sigurnosne incidente prema fizičkoj meti ili objektu računalnih napada možemo klasificirati u sljedeće skupine:

• Komponente Komponente predstavljaju jedan od dijelova od kojih se sastoji računalo ili mreža. Ovdje uključujemo i dodatne uređaje, kao što su vanjski uređaji za pohranu podataka, uređaj za održavanje napajanja itd.

• Računalni uređaji Pod računalnim uređajima podrazumijevamo uređaje koji se sastoje od jedne ili više udruženih komponenata kontroliranih unutrašnjim programom te su u mogućnosti riješiti značajne računske, numeričko aritmetičke ili logičke operacije. Ovim pojmom obuhvaćamo elektroničke uređaje kao što su radne stanice, serveri, usmjerivači, pisači itd.

• Mreža Računalnu mrežu predstavljamo kao skupinu međusobno povezanih računala, elemenata za preusmjeravanje i ogranaka za međusobno povezivanje. Najčešći sigurnosni incidenti kod kojih je mreža meta ili objekt napada su vezani za narušavanje raspoloživosti resursa mreže.

5. 6. Rezultati Ključni element osnovnog kriterija Računalni napad po kojemu vršimo klasifikaciju sigurnosnih rizika su rezultati računalnog napada. Računalni napadi sastoje se od serije koraka koje napadač poduzima s namjerom ostvarenja željenog rezultata. Budući da jedan sigurnosni incident često uključuju više od jednog računalnog napada, postoji i više rezultata tih napada. Za klasifikaciju sigurnosnih rizika koristeći rezultate računalnih napada služimo se terminologijom utvrđenom poglavljem 3. 2. 6., Rezultat. Rezultate računalnih napada možemo svrstati u sljedeće skupine:

• povećanje pristupa

• razotkrivanje informacija

52


• korupcija informacija

• raspoloživost sustava

• krađa resursa

• uništenje. Pri analizi informacija o rezultatima pojedinih računalnih napada, potrebno je obuhvatiti kumulativni efekt svih rezultata pojedinih napada, bez obzira koliko se rezultat pojedinačno činio značajnim. Analizom svih rezultata dolazimo do same namjere koju napadač pokušava ostvariti. Stoga, utvrđene kategorije rezultata možemo koristiti kao ključni element osnovnog kriterija Računalni napad za klasifikaciju sigurnosnih rizika.

5. 7. Svrha Sigurnosni incident je događaj kojim je ugrožena ili narušena sigurnost računalnog sustava. Napadači ugrožavaju i narušavaju sigurnost resursa računalnih sustava zbog ostvarenja različitih namjera. Svrha koju napadač želi ostvariti izvršavajući računalne napade nalazi se na kraju izvršnog slijeda sigurnosnog incidenta kako je prikazano slikom 3. 1. 1., Sigurnosni incident, na stranici 9. Koristeći terminologiju utvrđenu poglavljem 3. 1. 3., Svrha računalnog napada, svrhe možemo svrstati u sljedeće skupine:

• prikupljanje informacija

• uskraćivanje raspoloživosti

• krađa

• nelegitimno korištenje. Budući da je svrha napadača završna točka sigurnosnih incidenata, logično je korištenje utvrđenih kategorija svrha računalnih napada kao osnovnog kriterija klasifikacije sigurnosnih rizika. Poznavanjem i analizom namjera koje napadači pokušavaju ostvariti možemo doći do mnoštva zanimljivih informacija o tome što, kada i gdje će napadač vjerojatno napasti.

5. 8. Model klasifikacije sigurnosnih rizika Model klasifikacije sigurnosnih rizika razrađen u ovom poglavlju, kreiran je korištenjem terminologije sigurnosnih incidenata utvrđenom poglavljem 3., Terminologija sigurnosnih incidenta. Klasifikacijski model izrađen je s ciljem predstavljanja strukture termina i njihovih međusobnih odnosa, a koji su vezani za sigurnosne rizike računalnih sustava. Model klasifikacije sigurnosnih rizika namijenjen je olakšanju rješavanja sigurnosnih problema prepoznavanja potencijalnih sigurnosnih rizika određenog računalnog sustava. Proces projektiranja novog ili unaprjeđivanja razine sigurnosti postojećeg računalnog sustava trebao bi se provoditi korištenjem klasifikacijskog modela prilagođenog dotičnom sustavu. Također, model klasifikacije sigurnosnih rizika koristan je pri razvoju i rješavanju zahtjeva sigurnosne politike sustava, pri

53


procjenjivanju postojećih sustava, utvrđivanju relativne frekvencije neovlaštene aktivnosti itd. Na slici 5. 8. 1. predstavljen je model klasifikacije sigurnosnih incidenata koji sadrži sažetak ovog poglavlja u obliku blok dijagrama. Pred toga, dodan je dio vezan za korištenu tehniku računalnog napada (na slici prikazano isprekidanom linijom). Tehniku računalnog napada nije moguće koristiti kao kriterij klasifikacije jer tim pojmom, definiranim poglavljem 4., Tehnike računalnih napada, obuhvaćamo cijeli postupak poduzet od strane napadača, a koji se često sastoji od više računalnih napada. Razlog uključenja tehnike računalnih napada u klasifikaciju sigurnosnih incidenata jest korist koju je moguće postići uspoređujući kategorije tehnika napada sa zanimljivim detaljima određenog sustava. Na taj način možemo utvrditi koliko je sustav zaštićen, tj. sposoban oduprijeti se potencijalnim sigurnosnim rizicima. Univerzalan model klasifikacije sigurnosnih rizika ne postoji jer ovisi o namjeni računalnog sustava, arhitekturi sustava, implementiranoj tehnologiji itd. U ovom poglavlju razrađen je i predstavljen primjer općenitog modela klasifikacije. Namjena ovog općenitog modela jest njegovo korištenja kao predloška, odnosno osnove na kojoj bi se trebao razrađivati klasifikacijski model točno određene namjene. Osnovnim kriterijima klasifikacije i njihovom kategorizacijom pokušali smo obuhvatiti što više informacija, izbjegavajući pri tome ponavljanje i preklapanje, a preko kojih bi se vršila daljnja analiza. Klasifikacijski modeli određene namjene zahtijevat će detaljnije razrađivanje, što rezultira većim brojem kategorija i podkategorija osnovnih kriterija po kojima se vrši klasifikacija. Također, određeni osnovni kriteriji će biti manje zanimljivi od drugih, a time i slabije analizirani. Na primjer, za analizu sigurnosnog rizika neovlaštenog fizičkog pristupa prostorijama specijalne namjene, kategorija Pristup kriterija Računalni napad prema klasifikacijskom modelu, bit će znatno detaljnije razrađena sa mnogo podkategorija u odnosu na kategoriju Ranjivost kriterija Računalni napad.

54


Osn

ovni

krit

eriji

klas

ifika

cije

Kate

gorij

e os

novn

ih k

riter

ija k

lasi

fikac

ije

Dod

atak

Teh

nike

raču

naln

ih n

apad

a

Uni

šten

je p

odat

aka

sust

ava

Ope

raci

jski

sust

av

Nap

adač

Svrh

aR

ačun

alni

nap

ad

Hac

ker

Usk

raći

vanj

era

spol

oživ

osti

Prof

esio

naln

ikr

imin

alc

Zlon

amje

rni

koris

nik

Vand

al

Špiju

n

Tero

rist

Prik

uplja

nje

info

rmac

ija

Krađ

a

Nel

egiti

mno

koriš

tenj

e

Ran

jivos

tPr

istu

pM

ete

Rez

ulta

ti

Neo

vlaš

teno

koriš

tenj

e

Neo

vlaš

teni

pris

tup

Logičk

a m

eta

Fizičk

a m

eta

Logičk

apo

greš

ka

Slab

ost

raču

nala

Pogr

eške

sigu

r. po

litik

e

Poveća

nje

pris

tupa

Raz

otkr

ivan

jein

form

acija

Koru

pcija

info

rmac

ija

Ras

polo

živo

stsu

stav

a

Krađ

a re

surs

a

Neo

vlaš

teni

upad

i

Ras

polo

živo

stre

surs

a

Krađ

ain

form

acija

Sigu

rnos

ni ri

zik

Soci

jaln

iin

ženj

erin

g

Aplik

acija

Diz

ajn

mre

žnih

prot

okol

a

Krip

togr

afija

Sigu

rnos

t zap

orki

Zast

arje

lost

HW

i S

WLj

udsk

i fak

tor,

koris

nik

Ljud

ski f

akto

rad

min

istra

tor

Ost

alo

Adm

inis

trato

rske

ovla

sti

Koris

ničk

ipr

istu

pPo

kuša

j pris

tupa

Usk

raći

vanj

eus

luga

Koru

pcija

info

rmac

ijaR

azot

kriv

anje

info

rmac

ija

Mre

žni r

ačun

Loka

lni r

ačun

Adm

inis

trato

rski

raču

nPr

ivile

gira

niraču

nKo

risničk

i rač

un

Poda

ci u

prij

enos

u

Dat

otek

a po

data

ka

Koris

ničk

a da

tote

ka

Dat

otek

a su

stav

a

Rač

un

Poda

ci

Proc

es

Kom

pone

nta

Rač

unal

ni u

ređa

j

Mre

ža

Tehn

ika

napa

da

Pene

traci

ja

Zona

mje

rni

prog

ram

Zlon

amje

rni

HTM

L

Deg

rada

cija

proc

esa

Deg

rada

cija

pohr

ane

Iskl

juče

nje

resu

rsa

Pret

raži

vači

Pris

lušk

ivan

je

Ljud

ski f

akto

r

Rač

unal

ni

TCP/

IP la

žno

pred

stav

ljanj

eIP

pro

toko

l

TCP

prot

okol

Mot

iv

Zaba

va

Koris

t

Osv

eta

Znat

ižel

ja

Sam

o -

doka

ziva

nje

Uni

šten

je

Slika 5. 8. 1. Model klasifikacije sigurnosnih rizika

55

Upravljanje sigurnosnim rizicima

6. Upravljanje sigurnosnim rizicima Zaštita sigurnosti računalnih sustava i sprječavanje eksploatacije sigurnosnih incidenata nije jednostavan zadatak. Poduzimanjem odgovarajućih mjera i mehanizama zaštite sigurnosti sustava upravljamo sigurnosnim rizicima s ciljem smanjenja mogućnosti njihove eksploatacije. Sigurnosne mjere i mehanizmi imaju svrhu osigurati ovlaštenim korisnicima kontrolirani i nadgledani pristup resursima sustava te onemogućiti neovlaštenim korisnicima fizički ili elektronički pristup istim resursima sustava. Ukoliko neovlaštena osoba dođe do podataka pohranjenih na mreži, datoteke bi trebale biti nečitljive zbog prethodnog kriptiranja. Ukoliko je pak namjera zlonamjerne osobe razbijanje mrežnih operacija izazivanjem sklopovskih ili programskih kvarova, dizajn mreže trebao bi onemogućiti takav napad ili osigurati brzi oporavak. U svim slučajevima sustav sigurnosti trebao bi pratiti i pohranjivati sve uspješne i neuspješne pokušaje napada i time olakšati praćenje i pronalaženje napadača. U većini organizacija, ovlašteni pristup mreži podrazumijeva popis odobrenih resursa, aplikacija i podataka dostupnih svakom korisniku. Svim korisnicima nije uobičajeno odobriti neograničeni pristup resursima računalnog sustava.

6. 1. Sigurnosna politika Sigurnosna politika je službena izjava o pravilima prema kojima se korisnici računalnog sustava određene organizacije trebaju ponašati i koristiti resurse sustava. Sigurnosna politika definicija je organizacije prema sigurnosti sustava [30]. Ona definira što pojedina organizacija smatra važnim i specificira kako te važne informacije treba zaštititi. U praktičnoj upotrebi, sigurnosna politika se definira pravilima i procedurama koja specificiraju kako se sigurnosna politika provodi na računalnim sustavima. Osnovne namjene sigurnosne politike su:

• obavještavanje korisnika, administratora i rukovodstva o njihovim obvezama vezanim za zaštitu sigurnosti resursa sustava

• definiranje odgovornosti i očekivanja • upoznatost i svjesnost korisnika • očekivano korištenje sustavom regularnih i privilegiranih korisnika • osiguranje uputa u slučaju sigurnosnog incidenta • djelotvornije rukovanje sigurnosnim incidentom • efikasnije rukovanje sigurnosnim incidentom • povratak stanja sustava prije sigurnosnog incidenta.

Ispravno korištenje sigurnosne politike također je dio sigurnosne politike. Upute o ispravnom korištenju sigurnosne politike trebale bi biti eksplicitne što je više moguće zbog izbjegavanja nejasnoga i nerazumijevanja.

56


6. 1. 1. Tko bi trebao biti uključen u kreiranje sigurnosne politike

S namjerom da sigurnosna politika bude odgovarajuća i efikasna, potrebno je da bude prihvaćena i podržavana od strane svih zaposlenika organizacije. Na primjer, izuzetno je važno da rukovodstvo u potpunosti podržava sigurnosnu politiku. Sljedećim popisom predstavljeni su osobe koji bi trebali biti uključeni u kreiranju dokumenata sigurnosne politike:

• administratori za sigurnost sustava • tim za odgovor na sigurnosne incidente • administratori sustava, mreže, baza podataka itd. • operateri, službenici itd. • predstavnici korisničkih skupina na koje su odnosi sigurnosna politika • korisnici, klijenti, partneri • odgovorno rukovodstvo • vrhovno rukovodstvo.

Prethodni popis reprezentativan je za većinu organizacija, ali nije nužno sveobuhvatan. U kreiranju sigurnosne politike rukovodstvo je bitno zbog raspolaganja budžetom i autoriteta, administratori zbog znanja što tehnički može biti podržano itd.

6. 1. 2. Djelotvorna sigurnosna politika

Karakteristike djelotvorne sigurnosne politike su: • implementirana preko procedura administratora sustava, objavljena preko

prihvatljivih uputa za korištenje ili drugih odgovarajućih metoda • izvediva sa sigurnosnim alatima, realna, odgovarajuća i sa određenim

sankcijama • jasno definiranje područja odgovornosti i autoriteta korisnika, administratora i

rukovodstva • kreirana da bude funkcionalna duže vrijeme • redovito održavana i dograđivana.

Komponente koje uključuje djelotvorna sigurnosna politika:

• Privatnost Politika privatnosti definira pravila o očuvanju privatnosti informacija, na primjer čitanje elektroničke pošte drugih korisnika od strane administratora ili pristupanje korisničkim datotekama.

• Pristup Politika pristupa definira prava pristupa i privilegije nad zaštićenim resursima sustava. Provodi su putem odgovarajućih uputa korisnicima, administratorima i rukovodstvu.

• Odgovornost i autoritet Politika odgovornosti i autoriteta definira obveze korisnika, administratora i rukovodstva. Određuje ovlasti nadgledanja te određuje procedure u slučaju

57


sigurnosnog incidenta, odnosno što napraviti i tko je kontakt u slučaju otkrivanja moguće neovlaštene aktivnosti.

• Raspoloživost Očitovanje o raspoloživosti postavlja očekivanje od strane korisnika i administratora o raspoloživosti resursa sustava. Očitovanje bi trebalo sadržavati tehnike oporavka podataka i podnošenja ispada sustava, kao i određivanje radnog vremena. Također, trebalo bi sadržavati i kontakt osobe za izvještavanje o ispadima sustava i mreže.

• Pravila o korištenju računalne opreme Definiranjem pravilnika o korištenju opreme postiže se smanjivanje rizika pogreške ljudskog faktora, krađe ili pogrešne uporabe resursa sustava. Pravilnik se daje na uvid i potpis novom djelatniku prilikom isporuke nove informatičke opreme ili pri potpisivanju ugovora o radu. Također, potrebno je za različita radna mjesta definirati različite pravilnike prema poslovima i funkcijama zbog pristupa određenim (osjetljivim) podacima.

• Obuka djelatnika Edukacija djelatnika o prijetnjama sigurnosti sustava te osposobljavanje za pridržavanje sigurnosne politike kroz svakodnevni posao. Potrebno je imati potvrdu znaju li korisnici slijediti sve sigurnosne procedure te jesu li upoznati s razinom ovlasti koje posjeduje i sa odgovornošću.

• Podrška Politika podrške računalnog sustava opisuje način na koji je dozvoljeno internoj i vanjskoj podršci rukovanje i pristup resursima sustava. Trebala bi sadržavati i odgovarajuće izjave osoba podrške s određenim privilegijima na sustavu o pravilnom ponašanju i korištenju sustavom. Vrlo važna tema ovog područja su vanjski suradnici i način na koji ih rukovoditi.

• Izvještavanje o povredama sigurnosti Politika izvještavanja o povredama sigurnosti resursa sustava ukazuje na koje vrste povreda sigurnosti te koje osobe je potrebno izvještavati.

Nakon što je sigurnosna politika uspostavljena, potrebno ju je saopćiti korisnicima, administratorima i rukovodstvu. Vrlo važan dio procesa je potvrđivanje od njihove strane da su pročitali, razumjeli te da se slažu sa postavkama sigurnosne politike. Na kraju, potrebno je provjeriti da li sigurnosna politika uspješno podržava sigurnosne potrebe.

6. 1. 3. Fleksibilnost sigurnosne politike

S namjerom održavanja sigurnosne politike djelotvornom na duže vrijeme, potrebno je mnogo fleksibilnosti baziranoj na arhitekturi sigurnosnog koncepta. Sigurnosna politika trebala bi biti neovisna o određenom sklopovlju ili programskoj podršci (trebalo bi biti moguće određeni sustav zamijeniti "preko noći"). Vrlo je važno i prepoznavanje što se očekuje od svakog pojedinog pravila sigurnosne politike. Poželjno je da se svim situacijama, gdje je to moguće, odredi do koje mjere je administratoru sustava dozvoljeno, na primjer pristupanje korisničkim datotekama. Također, postoje situacije u kojima postoji potreba da više korisnika

58


koristi isti račun za rad na sustavu, na primjer više administratora sustava koristi "root" račun. Osnovno usredotočenje sigurnosne politike je na minimalnom razglašavanju informacija, tj. očuvanju tajnovitosti kritičnih informacija. Iz toga proizlazi veliki rizik gubitka kritičnih informacija ukoliko informacije nisu dijeljene. Na primjer, situacija kada osoba zadužena za obavljanje određenog ključnog posla iznenadno nije u mogućnosti obavljati svoja zaduženja iz razloga bolesti ili iznenadnog napuštanja organizacije. Stoga, vrlo je važno određivanje ravnoteže unutar organizacije.

6. 2. Predstavljanje Predstavljanje, autentifikacija jedan je od osnovnih aspekta sigurnosti računalnih sustava jer informacija "tko" vrši potencijalne neovlaštene aktivnosti je vrlo bitna za reguliranje aktivnosti na sustavu. Općenito, imamo dva načina prijave za rad, lokalno na sustavu ili na udaljenom sustavu. Zahtjev za pristup sustavu mogu zatražiti dvije vrste korisnika, poznati i nepoznati. Poznati korisnici, što uključuje i administratore, za rad na mreži koriste ranije ustanovljene identitete. Profil identiteta uključuje korisnička imena, članstva u grupama, dozvole pristupa itd. Predstavljanje je proces kojim sustav provjerava korisničke informacije pri prijavi za rad na sustavu. Ukoliko sustav utvrdi podudarnost, korisniku je dopušten pristup sustavu s odgovarajućim dozvolama za rad. Poznati korisnik može biti zatražen da se identificira korištenjem jednog ili više elemenata kao što su:

• Korisničko ime (eng. user name) Ovaj element korisnicima i uređajima dodjeljuje mrežni administrator. Svako korisničko ime mora biti jedinstveno da se osigura ispravna dostava poruka tom korisniku ili uređaju.

• Zaporka (eng. password) Ovaj element može kreirati korisnik ili dodijeliti mrežni administrator. Korisniku se mogu dodijeliti višestruke zaporke, svaka za osiguranje pristupa drugom resursu sustava.

• Fizički znak (eng. token) Vanjska komponenta koja se ne može duplicirati (npr. inteligentne kartice, šifrirane diskete). Predočavaju se i ispituju prilikom prijave za rad na sustavu.

• Biometrijski podaci Predstavljaju jedinstvene fizičke karakteristike (npr. otisci prstiju, crte lica, glas i sl.) pojedinca koji traži pristup mrežnim resursima, a koje moraju biti predočene i provjerene od strane mreže.

Nepoznati korisnici predstavljaju sve osobe koje ne posjeduju identitet na mreži kojoj žele pristupiti (npr. posjetitelj na web poslužitelju). U tim slučajevima predstavljanje može se izvesti na sljedeće načine:

• Bez predstavljanja Nepoznatim korisnicima dozvoljen je pristup svim javnim resursima na mreži.

59


• Djelomično predstavljanje Nepoznati korisnici moraju se identificirati i podastrijeti dodatne informacije, uz pomoć tih informacija kreira se korisnički profil za nastupajuće posjete. Ovaj način predstavljanja povezan je sa članstvima i interesnim grupama gdje korisnički profili služe za osiguravanje korisnih informacija svakom korisniku (pretplatniku).

Pod potpunim predstavljanjem podrazumijevamo mehanizam autentifikacije kod kojeg su nepoznati korisnici primorani identificirati se predočavanjem svojih digitalnih uvjerenja (eng. certificate). Ta uvjerenja se koriste kao elementi za predstavljanje i moraju biti prethodno pribavljeni od poznatog i povjerljivog izdavača (npr. financijske, medicinske ili obrazovne ustanove). Sustav potvrđuje ispravnost uvjerenja i dozvoljava pristup odgovarajućim resursima. Ovaj način predstavljanja povezuje se s elektroničkom trgovinom gdje se izvršavaju transakcije i razmjene sredstava preko mreže. Elementi predstavljanja mogu se kombinirati da osiguraju sljedeća dva načina uvjerenja na mreži:

• korisnici jesu oni za koje se predstavljaju korištenjem svojeg znanja (korisnička imena i zaporke),

• korisnici jesu oni za koje se predstavljaju korištenjem osobnog posjedovanja (fizički znakovi, biometrijski podaci i digitalna uvjerenja).

6. 3. Ovlaštenja Kada se korisnici jednom predstave, odobrava im se pristup odgovarajućim resursima sustava. Autorizacijski mehanizmi kontroliraju aktivnosti svakog predstavljenog korisnika na sustavu [31]. Dakle, predstavljanje služi za utvrđivanje identiteta pojedinog korisnika, dok ovlaštenje, autorizacija određuje što taj korisnik može raditi. Svaki korisnički zahtjev za uslugama sustava provjerava se s obzirom na autorizacijski profil tog korisnika. Rezultat provjere je odobrenje ili uskrata zahtjeva. Autorizacijski profili ponekad se nazivaju i liste kontrole pristupa (engl. Access Control List, ACL). Te liste mogu se kreirati za korisnike, uređaje i aplikacije budući da svi oni zahtijevaju određene mrežne usluge sustava. Grupni autorizacijski profili omogućuju administratoru dodjelu jednog skupa resursa sustava većem broju korisnika. Umjesto da stvara profil za svakog novog korisnika, administrator korisnika uključuje u jednu ili više grupa. Kroz grupe korisnik trenutno dobiva pristup svim mrežnim resursima dodijeljenim grupi ili grupama. Pošto već na mreži osrednje veličina može postojati više stotina različitih resursa, stvaranjem grupa postiže se lakše i sistematičnije definiranje i dodjeljivanje prava pristupa. Dva najpopularnija mehanizma ovlaštenja jesu sigurnost temeljena na prijavi za rad i sigurnost temeljena na zaporki. Oba su dizajnirana da osiguravaju siguran pristup utvrđen predstavljanjem te nameću stroga pravila za pokušaje pristupa poznatih korisnika. Sigurnost temeljena na prijavi za rad kontrolira pristup resursima sustava nametanjem jednog ili više sljedećih zahtjeva:

• Korisnik se može prijaviti za rad samo u određeno vrijeme

60


Ova karakteristika određuje dane u tjednu i sate u danu kada korisnik može pristupiti mreži. Moguće je, na primjer, ograničiti korisniku pristup sustavu samo radnim danima u vremenu od 8:30 do 18:30. Time se korisniku onemogućava pristup mreži izvan radnog vremena i vikendom.

• Neuspješna prijava za rad Česti pokušaji neuspješne prijave za rad upućuju na pokušaj dobivanja neautoriziranog pristupa. Potrebno je pratiti takve događaje i reagirati u realnom vremenu blokiranjem korisničkog računa na neko vrijeme.

• Neuspješna promjena zaporke Česti neuspješni pokušaji promjene lozinke upućuju na neautorizirani pristup korisničkom računu.

• Korisnik se može prijaviti za rad sa određene stanice Svakoj stanici od mrežnog operacijskog sustava pridružen je identifikacijski broj. Ova karakteristika definira stanicu s koje se korisniku dozvoljava pristup mreži. Na primjer, moguće je korisnicima ograničiti pristup na mrežu samo sa njihovih stolnih računala. To znači da korisnici mogu pristupiti mreži samo sa svojih radnih mjesta.

• Korisnik može imati ograničeni broj istovremenih prijava za rad Ova sigurnosna mjera kontrolira broj istovremenih aktivnih mrežnih veza koje korisnik može imati. Na primjer, ograničavanje korisnika na jednu prijavu prisiljava korisnika da u određenom trenutku ima samo jednu vezu sa mrežom. Ukoliko se korisnik koji je u vezi želi prijaviti za rad na mreži sa druge stanice, mora prvo okončati postojeću vezu.

• Automatska zastara svakog korisničkog računa Ova karakteristika onemogućava korisniku pristup mreži nakon određenog datuma. Takvi korisnici mogu biti privremeni zaposlenici ili zaposleni na određeno vrijeme.

Sigurnost temeljena na zaporci kontrolira pristup mreži nametanjem dodatnih zahtjeva vlasnicima zaporki prije nego što im se dozvoli korištenje mrežnih resursa. Zaporke koje odabiru korisnici mogu imati jedno ili više sljedećih ograničenja:

• Korisnički računi bez zaporke Svi korisnički računi trebali bi imati zaporke.

• Dužina zaporke Potrebno je definirati minimalnu dužinu zaporke od npr. osam znakova minimalno za administratorske račune i npr. šest znakova minimalno za korisničke račune. Postavljanjem ograničenja na minimalnu duljinu zaporke otežava se napadaču pogađanje korisničke zaporke.

• Format zaporke Zaporka bi trebala biti sastavljena najmanje od tri različite vrste znakova (npr. velika slova, mala slova i brojevi) te ne bi trebala sadržavati ime, prezime ni username korisnika.

• Vremensko ograničenje trajanja i periodičke promjene zaporke

61


Ovo ograničenje prisiljava korisnika da nakon nekog vremena promijeni zaporku (npr. jednom mjesečno).

• Novi korisnički računi Novotvoreni korisnički računi zahtijevaju promjenu zaporke pri prvoj prijavi korisnika.

• Recikliranje zaporki Zaporke se ne bi smjele reciklirati, odnosno ne smije se koristiti već korištena zaporka.

• Nekorišteni korisnički računi Korisnički računi koji nisu korišteni duže vrijeme trebali bi biti blokirani ili odstranjeni. Vrijeme nekorištenja može biti ograničeno na npr. 2-3 tjedna. Korisnički računi bivših zaposlenika trebali bi biti blokirani ili odstranjeni.

• Ograničenja broja iznimnih prijava Iznimne prijave omogućuju korisnicima pristup mreži korištenjem starih zaporki nakon što je prošlo vrijeme uporabe zaporke. Kada korisnik pristupi na taj način dobiva upozorenje da mora promijeniti zaporku. Ograničenje brojeva takvih prijava prisiljava korisnike da poštuju politiku promjene zaporki.

• Ograničavanje broja neuspješnih prijava Ovo ograničenje pomaže u sprječavanju neovlaštenih pojedinaca od pristupa mreži nasumce pogađajući zaporke dok ne pogode jednu.

6. 4. Fizička sigurnost i sigurnost radne okoline Mjere fizičke sigurnosti i sigurnost radne okoline koristimo za zaštitu računalnih sustava od fizičkih formi neovlaštenih aktivnosti. Fizičke forme neovlaštenih aktivnosti predstavljaju aktivnosti kod kojih su dijelovi sustava izloženi fizičkom kompromitiranju u obliku krađe, uništenja, korupcije ili neovlaštenog korištenja [32]. Zaštita sigurnosti sustava od fizičkih formi neovlaštenih aktivnosti temelji se na odrađivanju sigurnosnih područja za smještaj informatičke opreme:

• Odabir prostorija i zaštitne opreme Potrebno je da djelatnik zadužen za fizičku sigurnost važne računalne opreme definira uvjete koja prostorija mora zadovoljavati. Na primjer, prostorija mora biti klimatizirana, u prostoriji ne smiju stalno boraviti djelatnici, odabir brava na vratima, odabir uređaja za ograničenje pristupa određenim djelatnicima u određene prostorije itd.

• Dozvole ulaza prostorije s važnom informatičkom opremom Kontrola koji djelatnici i u kojem vremenu imaju pravo pristupa u odrađene prostorije, definiranje pravila ponašanja osoba zaduženih za zamjenu backup traka i isporuku papira za pisače, kome djelatnici pokazuju dozvole za iznošenje opreme izvan firme itd.

• Zaštita od fizičkog uništenja opreme i gubitka podataka Osigurati da informatička oprema (uređaji i mediji za pohranu podataka) budu zaštićeni od kontakta s vodom ili s vatrom te u slučaju požara zaštita od

62


mogućeg polijevanja pjenom iz protupožarnih aparata, raspored i položaj kabela za napajanje i komunikaciju, priključak određene opreme na utičnice sa stalnim napajanjem i na uređaje za zaštitu od nestanka napajanja itd.

Važan aspekt fizičke sigurnost sustava je i priprema za slučaj uništenja opreme i prekida poslovne aktivnosti, na primjer sastavljanje ugovora o održavanju informatičke opreme, definiranje procedura za slučajeve određenih kvarova na opremi itd.

6. 5. Snimka stanja sustava Većina znakova asocirana s računalnim virusima, neovlaštenim upadima u sustave, zlonamjernim korisnicima itd., jednostavne su anomalije kao što su propusti sklopovlja ili sumnjiva ponašanja sustava ili korisnika. Praćenje informacija kojim su opisani događaji (eng. audit) vrlo je korisno, a posebno u slučaju determiniranja mrežnih napada [33]. Vrlo je važno napraviti snimku trenutnog stanja sustava nakon pojave sumnje da nešto nije u redu. Mnogo sigurnosnih incidenata prouzrokuju dinamički lanac događaja koji su se zbili. Stoga, inicijalna snimka stanja sustava možda je najvredniji alat za identificiranje problema i izvora napada.

6. 5. 1. Knjiga praćenja događaja

Gotovo svi sigurnosni incidenti prouzrokuju dinamički lanac događaja koji su se zbili te ostavljaju prepoznatljive tragove pomoću kojih je moguće otkrivanje i korištenje pri istraživanju sigurnosnog incidenta [34]. Dakle, vrlo je važno pokretanje mehanizma knjige za praćenje događaja (eng. log). Snimanje događaja sustava, mrežnog prometa, oznaka vremena itd., može pomoći u znatno bržem i sistematičnijem identificiranju problema te je i osnova za naknada razmatranja sigurnosnog incidenta. Tablica skupina podataka te mogućih tipova podataka za sakupljanje, prikazani su sljedećom tablicom:

Kategorija podataka Tipovi podataka za sakupljanje Performanse sustava • sveukupno korištenje resursa kroz vrijeme (CPU,

memorija itd.) • status i pogreške izvještene od sustava • promjene u statusu sustava, uključujući gašenja i

restartanja • status datotečnog sustava (dijeljeni diskovi, slobodan

prostor na patriciji, najveće datoteke) kroz vrijeme i u određeno vrijeme

• upozorenja datotečnog sustava (malo slobodnog prostora za pohranu, previše otvorenih datoteka)

• performanse diska (ulaz/izlaz, dužina reda čekanja na zapis) kroz vrijeme i u određeno vrijeme

• raspoloživost sklopovlja (modemi, memorija, mrežne kartice)

63


Ostali podaci sustava • akcije koje zahtijevaju posebne privilegije • uspješne i neuspješne prijave za rad • aktivnost modema • prisutnost novih servisa i uređaja • konfiguracija resursa i uređaja

Performanse procesa • iznos iskorištenih resursa (CPU, memorija, disk, vrijeme) po određenom procesu kroz vrijeme

• procesi i servisi sustava i korisnika koji se izvršavaju kroz određeno vrijeme

Ostali podaci procesa • korisnici koji izvršavaju procese • vrijeme startanja procesa, argumenti, nazivi datoteka • vrijeme svršetka procesa, vrijeme trajanja, konzumirani

resursi • načini po kojima su procesi pokrenuti (administrator,

korisnici, drugi programi ili procesi) te s kojom autorizacijom i privilegijima

• uređaji korišteni određenim procesom • datoteke trenutno otvorene određenim procesom

Performanse mreže • sveukupni ulazni i izlazni promet kroz vrijeme (broj paketa, okteta i konekcija) i po događaju

• sveukupni ulazni i izlazni promet (postotak paketa, okteta i konekcija) kroz vrijeme sortirano po protokolu, izvorišnoj i odredišnoj adresi i zaglavlju paketa

• broj pogrešaka na svim mrežnim sučeljima

Ostali mrežni podaci • zahtjevi za servisima • ime korisnika/računala koji zahtjeva servis • mrežni promet (zaglavlje paketa) • uspješne konekcije i pokušaji konekcija • trajanje konekcija • tijek veze (niz paketa od početka do prekida veze) • trenutno otvoreni mrežni socketi • mrežne kartice u promiskuitetnom načinu rada • mrežna ispitivanja i pretraživanja • rezultati administratorskih ispitivanja

Aplikacije • određene informacije o aplikacijama i servisima: e-mail logovi, FTP logovi, SMP logovi, modemski logovi, logovi vatrozida, logovi sustava za detekciju neovlaštenih aktivnosti itd.

Određene informacije servisa: • za FTP upit: transferirane datoteke i statistika veze • za Web upite: pristupane stranice, statistika veza, tko

postavlja upit, stranica s najviše upita itd. • za DNS upite: upiti, odgovori, zone prijenosa • za datotečne poslužitelje: broj prijenosa datoteka kroz

vrijeme • za baze podataka: broj transakcija

64


Datoteke i direktoriji • lista datoteka, direktorija, atributa • kriptografski checksimi za sve datoteke i direktorije • pristup (kreiranje, otvaranje, brisanje itd.), vrijeme,

datum • promjene veličine, sadržaja, zaštite, tipa, lokacije • promjene liste kontrole pristupa na alatima sustava • rezultati virusnog pretraživanja

Log datoteke • rezultati pretraživanja, filtriranja i reduciranja sadržaja log datoteka

• provjera konzistencije log datoteke (povećanje veličine datoteke kroz vrijeme, uzastopno korištenje)

Ranjivosti • rezultati pretraživača ranjivosti (prisustvo ranjivosti) • praćenje zakrpi ranjivosti

Korisnici • informacije o prijavi/odjavi za rad: uspješni pokušaji, neuspješni pokušaji, broj, pokušaji prijave privilegiranim računima

• informacije o prijavi/odjavi za rad na udaljenim poslužiteljima

• promjene identiteta korisnika • promjene statusa autentifikacije, npr. omogućavanje

privilegija • neuspješni pokušaji pristupa povjerljivim informacijama

(zaporke) • prekoračenje korisničke kvote

Tablica 6. 5. 1. 1. Tipovi podataka za praćenje događaja Izostavljanje mehanizma praćenja događaja ili praćenje nevažnih događaja znatno narušava sigurnost sustava preko eliminiranja mogućnosti prepoznavanja sumnjivog ponašanja na sustavu ili pokušaja neovlaštenih aktivnosti te utvrđivanja uspješnosti sigurnosnog incidenta. S druge strane, ovi mehanizmi proizvode veliki broj zapisanih informacija pa je potrebno utvrditi način na koji je najdjelotvornije pregledavati i filtrirati zapisane informacijama. Također, potrebno je imati u vidu i zaštitu mehanizma praćenja događaja i log datoteka od napadača koji su u mogućnosti kompromitirati ih s namjerom skrivanja tragova vlastite aktivnosti.

6. 5. 2. Redovite kontrole

Pored mehanizma knjige praćenja događaja, redovitim kontrolama sustava prikupljamo informacije neophodne za prepoznavanje neovlaštenih aktivnosti. Redovitim kontrolama sustava koristeći određene alate dolazimo do trenutnih, aktualnih informacija o stanju sustava [35]. Sakupljanjem i analizom informacija o stanju sustava, dolazimo do određenih saznanja o neovlaštenim aktivnostima. U nastavku predstavljena su moguća područja za sakupljanje informacija:

• pregled prijavljenih korisnika na sustavu • pregled aktivnih procesa • otkrivanje mrežnih pretraživača • pronalaženje datoteka i alata ostavljenih od strane napadača

65


• pregled aktivnih konekcija • anomalije na sustavu.

Prigodom kontrole sustava potrebno je uzeti u obzir da su napadači u mogućnosti kompromitirati administratorske alate kojima se služimo. Ukoliko je administratorski alat korišten za sakupljanje informacija potrebnih za prepoznavanje neovlaštenih aktivnosti, korumpiran ili zamijenjen s drugim, nije moguće pouzdati se u dobivene rezultate. Primjer: Pregled prijavljenih korisnika. Ukoliko sumnjamo da je napad u procesu, prvi korak je utvrđivanje gdje se nalazi napadač i što radi. Za pregled prijavljenih korisnika na sustavu koristimo komandne naredbe, na primjer na UNIX sustavima naredbe "w", "finger" ili "who". Naravno, ove naredbe korisne su samo u slučaju kad je napadač prijavljen na sustavu. Što tražimo: - jesu li korisnici ispravni - jesu li korisnici prijavljeni neuobičajeno dugo vremena - koriste li se korisnici sumnjivom programskom podrškom - je li lokacija pojedinih korisnika ispravna ("finger")? Naredba "finger" prikazuje korisnike koji su trenutno prijavljeni za rad na sustavu, koji TTY koriste, koliko dugo su prijavljeni za rad i s kojeg računala. Prompt> finger Dogin Nadme TTY Idile When Where user1 user Nadme p0 26 Fri 11:46 host1.sub.domain user2 user Nadme p1 34 Tue 10:42 host2.sub.domain user4 user Nadme p2 Mon 14:04 host3.sub.domain user3 user Nadme p3 44 Mon 14:06 host4.sub.domain user2 user Nadme p4 3:45 Tue 11:06 host2.sub.domain user2 user Nadme p5 1 Wed 14:47 host2.sub.domain user3 user Nadme p6 3:04 Thu 11:04 host5.sub.domain user3 user Nadme p7 1:02 Fri 13:52 host5.sub.domain

Primjer: Pregled aktivnih procesa. Iako napadač nije više prijavljen na potencijalno napadnutome sustavu, proces je možda ostavljen od strane napadača s ciljem ostvarenja vlastitih namjera. Za pregled aktivnih procesa na sustavu koristimo komandne naredbe, na primjer na UNIX sustavima naredbe "ps" i "crash" ili na Microsoft NT sustavima "pulist". Što tražimo: - proces koji uzima mnogo vremena - neobično vrijeme pokretanja, na primjer 03:00 - neobična imena, na primjer proces crash vrlo vjerojatno je zlonamjeran - procesi koji uzimaju ekstremno veliki postotak CPU jedinice.

66


Naredbom "ps -agux" izlistavamo procese koji se izvršavaju na sustavu. To je siguran način pregledavanja programa koji se izvršavaju na sustavu. U nastavku prikazan je kratak primjer: Prompt> ps –agux USER PID %CPU %MEM SZ RSS TT STAT START TIME COMMAND user5 28206 8.1 0.4 48 280 p4 S 13:55 0:00 man inetd.conf user5 28208 3.9 0.5 56 312 p4 S 13:55 0:00 more –s

/usr/man/cat5/in root 2 0.0 0.0 0 0 ? D Mar 7 0:02 pagedeamon root 87 0.0 0.0 176 0 ? IW Mar 7 0:16 sendmail:

accepting conn root 1 0.0 0.0 56 0 ? IW Mar 7 0:04 /sbin/init - user3 15547 0.0 0.0 88 0 ? IW Apr 5 0:00 selection_svc user1 184 0.0 0.0 192 0 p0 IW Mar 7 0:06 -tcsh (tcsh) user2 28209 0.0 0.8 208 520 p5 R 13:55 0:00 ps –agux user2 21674 0.0 0.4 112 248 p5 S 16:24 0:00 -tcsh (tcsh) user3 16834 0.0 0.0 88 0 ? IW Apr 5 0:00 selection_svc user3 27350 0.0 0.0 112 0 p3 IW Apr 8 0:01 -csh (csh) user4 23846 0.0 0.0 80 0 pa IW 11:12 0:00 -csh (csh) user3 23801 0.0 0.0 20 0 p8 IW 11:04 0:00 -csh (csh) user2 48590 0.0 0.0 120 0 p7 IW Mar 6 0:01 -tcsh (tcsh) user2 15591 0.0 0.0 120 0 p6 IW Mar 5 0:06 -tcsh (tcsh) user2 15588 0.0 0.1 928 72 p1 I Mar 5 7:08 emacs user2 15496 0.0 0.0 0 0 p1 IW Mar 5 0:00 -tcsh (tcsh)

6. 6. Podnošenje ispada sustava Podnošenje ispada sustava (eng. fault tolerance) jest sposobnost sustava zadržavanja pune funkcionalnosti u slučaju ispada bilo kojeg dijela sustava. Obično, pojam fault tolerance koristimo za opisivanje diskovnog podsustava, ali on se odnosi i na ostale dijelove sustava [36]. Sustavi koji u potpunost podnose ispade iz funkcije nekih od svojih dijelova koriste redundantne uređaje, kao što su kontroleri diskova, uređaji za naknadu napajanja, diskovni podsustav za podnošenje ispada jednog od diskova itd. Također, često se koriste dodatni uređaji, kao što su vanjski uređaji za naknadu napajanja (eng. uniteruptible power supplies, UPS) u slučaju ispada lokalnog napajanja. Dvije važne vrijednosti kojima označavamo podnošenje ispada iz funkcije nekih od dijelova sustava su srednje vrijeme do ispada sustava iz produkcije (eng. mean time to failure, MTTF) i srednje vrijeme oporavke sustava (eng. mean time to recovery, MTTR). Vrijeme u kojem se sustav izvan produkcije (eng. downtime) općenito mjerimo relacijom MTTR/MTTF. S tog aspekta, glavna usmjerenja mjera i mehanizama zaštite sigurnosti sustava su istovremeno povećavanje MTTF i smanjenje MTTR. Slikom 6. 6. 1. prikazana je karakteristika ispada iz funkcije, tj. kvarova suvremenih elektroničkih komponenti.

67


Vrijeme

Fazanormalnog rada

Dječijebolesti

Fazakvarova

Broj

kva

rova

Slika 6. 6. 1. Karakteristika kvarova elektroničkih komponenti

Za vrijeme ranog razdoblja (dječje bolesti), vjerojatnost kvara je velika. Nakon početne faze, slijedi faza normalnog rada u kojoj su kvarovi rijetki i koja traje dugo, do kraja korisnog života komponente. U završnoj fazi, faza kvarova, broj kvarova naglo raste. Najčešće korišteni mehanizmi poboljšanja sposobnosti podnošenje ispada nekih od dijelova sustava su: diskovni podsustav (RAID), zaštita napajanja, sparivanje računala i arhiviranje podataka.

6. 6. 1. Diskovni podsustav (RAID)

Diskovni podsustav za podnošenje ispada diska ili jednog od diskova sustava, standardiziran je i podijeljen na nivoe poznatih kao redundantno polje jeftinih diskova (eng. Redundant Array of Inexpensive Disks, RAID). Kod svakog od nivoa na drugačiji način kombiniraju se performanse, pouzdanost i cijena sustava. RAID diskovni podsustav moguće je implementirati na sklopovskom nivou koristeći RAID kontrolere ili na programskom nivou koristeći operacijski sustav ili dodatne komercijalne programske pakete. Budući da nivo 1 i nivo 5 pružaju potpuni fault tolerance te su najčešće korišteni, bit će obrađeni u nastavku.

• Nivo 1 Nivo 1 zbog načina funkcioniranja nazivamo i zrcalno postavljanje diskova (eng. mirror set). Zrcalnim postavljanjem diskova postižemo identične parove odabranih diskova, tj. podaci zapisani na primarnom disku, zapisani su i na zrcalnom disku. Ovakav način rada rezultira sa samo 50 postotnim iskorištenjem diskovnog prostora. Međutim, u slučaju ispada jednog diska, sustav koristi podatke s drugog diska.

68


Server

Zrcalnidisk

Primarnidisk

Slika 6. 6. 1. 1. Zrcalno postavljanje diskova

U odnosu na nivo 5, zrcalno postavljanje diskova pruža bolje sveukupne performanse čitanja i pisanja. Sljedeća prednost je što nema gubitka performansi u slučaju ispada jednog od diskova. S druge strane, zrcalno postavljanje diskova skuplja je metoda mjerena u novčanoj jedinici po megabyteu. Međutim, sveukupna cijena je manja iz razloga što zahtjeva dva diska, dok nivo 5 zahtjeva najmanje tri ili više diskova.

• Nivo 5 Nivo 5 poznat je i pod nazivom podjela podataka pomoću pariteta (eng. striping with parity). Podaci su podijeljeni unutar velikih blokova preko svih diskova sustava. Kod nivoa 5 informacija o paritetu zapisuje se preko svih diskova. Redundancija podataka omogućena je preko informacija o paritetu. Podaci i informacija o paritetu uređeni su na način da su dvoje uvijek na različitim diskovima.

Paritet

Disk 4Disk 3Disk 2Disk 1 Disk 5

Slika 6. 6. 1. 2. Podjela podataka pomoću pariteta

Tehnika podijele podataka pomoću pariteta pruža bolje performanse čitanja podataka od zrcalnog postavljanja diskova. Međutim, u slučaju ispada jednog od diskova, performanse čitanja degradirane su potrebnom oporavka podataka s informacijom o paritetu. Ova strategija preporučuje se za aplikacije koje zahtijevaju redundanciju te su primarno orijentirane na čitanje podataka. Performanse zapisivanja su smanje zbog izračunavanja pariteta. U slučaju ispada jednog od diskova, čitanje podataka zauzima najmanje tri puta više memorije od normalnog stanja, prouzrokovano izračunavanjem pariteta.

69


6. 6. 2. Zaštita napajanja

Pojedinačno gledano, točka najvećeg ispada bilo kojeg računalnog sustava jest napajanje. Ukoliko računala ostanu bez napajanja, ne mogu funkcionirati. Stoga, vrlo je važna implementacija uređaja za naknadu napajanja (UPS) u slučaju ispada lokalnog napajanja te provjera da li zadovoljavaju potrebe sustava. Međutim, ovo je samo površinsko rješavanje problema zaštite sustava od problema s napajanjem. Općenito, probleme s napajanjem od kojih je potrebno zaštiti sustav su:

• lokalni ispadi napajanja koji predstavljaju ispade u funkcioniranju napajanja servera, usmjerivača ili drugih uređaja na sustavu

• varijacija napajanja • kratkotrajna izostajanja napajanja prouzročena ispadom vanjskog napajanja

u vremenu od nekoliko sekundi do nekoliko minuta • dugotrajna izostajanja napajanja prouzročena ispadom vanjskog napajanja u

vremenu od nekoliko minuta do nekoliko sati ili dana. Svaki od problema s napajanjem predstavlja različiti sigurnosni rizik računalnog sustava te zahtjeva određeni mehanizam zaštite. Moguće prijetnje predstavljaju okolina u kojoj se sustav nalazi, kvaliteta dostupnog javnog napajanja, prirodne katastrofe itd.

6. 6. 3. Sparivanje računala

Sparena računala (eng. cluster) definiramo kao skupinu zasebnih računala koje zajedničkim radom izvršavaju grupu aplikacija i pružaju dojam, sliku klijentima i aplikacijama jednog sustava. Računala su fizički spojena kabelima ili programskim upravljana programom za clustering. Ovakvo povezivanje računala omogućuje rješavanje problema kao što su zaobilaženje ispada sustava i balansiranja prometa. Ova funkcionalnost nije moguća korištenjem jednog računala. Korištenje konfiguracije sparenih računala pruža sljedeće mogućnosti:

• Visoka raspoloživost Konfiguracije sparenih računala dizajnirana je s ciljem zaobilaženja jedne točke ispada sustava. Aplikacije mogu biti distribuirane na više od jednog računala, čime ostvarujemo paralelni način rada i oporavak od ispada sustava, odnosno veću raspoloživost.

• Skalabilnost Moguće je povećanje računalne snage cluster konfiguracije, dodavajući dodatne CPU jedinice ili računala.

• Upravljanje Konfiguracija sparenih računala predstavlja se kao jedan sustava krajnjim korisnicima, aplikacijama i mreži, pružajući na taj način jednu točku upravljanja, kontrole administratorima sustava. Kontrola ovakve jedne točke upravljanja može biti udaljena.

70


6. 6. 4. Arhiviranje podataka

Pored toga što sustavi s konfiguracijom sparenih računala (eng. cluster) osiguravaju stalnu raspoloživost resursa sustava, vrlo je važno arhiviranje podataka na medije za pohranu. Razlog tome je što je arhiviranje jedini način zaštite podataka u ekstremnim situacijama, kao što su prirodne katastrofe, korisničke pogreške, diverzije itd., te smo u mogućnosti povratiti stanje kakvo je bilo prije eventualnog incidenta [37]. Stoga, dobro postavljene procedure arhiviranja (eng. backup) i oporavka (eng. recovery) svih kritičnih podataka je možda najvažniji element sigurnosti. Općenito imamo tri tehnike arhiviranja podataka: normalno ili potpuno, inkrementalno i diferencijalno.

• Normalno Normalnim ili potpunim načinom arhiviranja kopiramo sve označene datoteke. Ovim načinom arhiviranja, oporavak datoteka je brz iz razloga što su datoteke na posljednjoj traci najaktualnije, tj. potrebna je samo najsvježija kopija arhiviranih podataka. Arhiviranje ovom tehnikom obično se koristi pri prvom kreiranju arhive.

• Inkrementalno Inkrementalnim načinom arhiviranja, arhiviraju se podaci kreirani ili modificirani od zadnjeg normalnog ili inkrementalnog arhiviranja. Datoteke se označavaju nakon što su arhivirane. Ukoliko se koristi kombinacija normalnog i inkrementalnog načina arhiviranja, oporavak podataka zahtjeva pokretanje prvo zadnjeg normalnog arhiviranja te pokretanje redom svih inkrementalnih arhiva.

• Diferencijalno Diferencijalnim načinom arhiviranja kopiramo datoteke kreirane ili modificirane od zadnjeg normalnog ili inkrementalnog arhiviranja. U ovom slučaju datoteke se ne označavaju nakon što su arhivirane. Ukoliko koristimo kombinaciju normalnog i diferencijalnog arhiviranja, oporavak zahtjeva samo posljednju normalnu arhivu te zatim posljednju diferencijalnu arhivu.

Sljedećom tablicom prikazane su prednosti i nedostaci pojedine tehnike arhiviranja.

Tehnika Prednosti Nedostaci Normalno • Datoteke je jednostavno

pronaći i oporaviti jer se nalaze na aktualnom mediju za arhiv

• Oporavak s jednog medija za arhiv

• Zahtjeva najviše vremena • Ukoliko se datoteke često

ne mijenjaju, pojava redundacije podataka

Inkrementalno • Najmanje potrebno prostora za arhiv

• Najmanje potrebnog vremena za arhiv

• Teško pronalaženje datoteka jer postoji mogućnost da se nalaze na više medija

71


Diferencijalno • Manje potrebnog vremena za arhiv od normalnog arhiviranja

• Oporavak zahtjeva samo posljednju normalnu i posljednju diferencijalnu arhivu

• Oporavak uzima više vremena od normalnog

• Ukoliko se velike datoteke mijenjaju svakodnevno, arhiv uzima više vremena od inkrementalnog

Tablica 6. 6. 4. 1. Usporedba tehnika arhiviranja

6. 7. Kriptografska zaštita podataka Prema jednoj od definicija, kriptografija je umjetnost pretvaranja razumljivog u nerazumljivo svima osim nekolicini [31]. Iza ove nerazumljive definicije krije se zaštita privatnosti podataka. Kriptografija je stručni naziv za proces pretvaranja informacija u gomilu naizgled nepovezanih podataka koje nitko osim primatelja ne može pročitati. Kriptografiju koristimo za zaštitu sljedećih tipova podataka:

• Sigurna pohrana podataka Današnji operacijski sustavi omogućuju razne sofisticirane mehanizme koji omogućuju samo ovlaštenim korisnicima pristup datotekama za vrijeme dok je operacijski sustav aktivan. Ukoliko napadač zaobiđe sigurnosne mehanizme, podaci ostaju nezaštićeni. Stoga, kriptografiju koristimo kao posljednji mehanizam pri sigurnoj pohrani podataka.

• Privatna komunikacija Jedan od najčešćih primjena kriptografije je zaštita komunikacije među korisnicima i komunikacijskom opremom. Kod komunikacije elektroničkom poštom, većina programskih paketa (npr. MS Exchange i MS Outlook) uključuju mogućnost kriptiranja e-mail poruka prije njihovog slanja ili je moguće korištenje dodatnih komercijalnih programa (npr. PGP). Dobar primjer kriptirane komunikacije su virtualne privatne mreže, gdje uspostavljamo komunikaciju dviju privatnih mreža preko javne (Internet).

• Provjera identiteta S namjerom očuvanja kritičnih informacija tajnima, bilo da su pohranjene ili su u prijenosu, kriptografijom se služimo za skoro suprotne potrebe - provjeru identiteta. Kriptografiju koristimo pri prijavljivanju korisnika za rad na računalu, za provjeru izvor informacija na Internetu, za provjeru identiteta pošiljatelja e-mail poruke itd.

• Sigurna razmjena zaporki Pri prijavi za rad na mrežnom datotečnom poslužitelju ili pri uspostavljanju veze s poslužiteljem Internet usluga (ISP), potrebno je korištenje korisničkog imena i zaporke. Preko ove dvije informacije kontroliramo pristup resursima sustava i predstavljamo identitet korisnika. Stoga, ove informacije štitimo kriptografijom.

Kriptiranje se općenito može podijeliti u dvije kategorije; kriptiranje tajnim (simetričnim) i kriptiranje javnim (asimetričnim) ključevima.

72


6. 7. 1. Kriptiranje tajnim ključevima

Prilikom šifriranja tajnim ključem poruka se matematički transformira korištenjem vrijednosti koji poznaju samo pošiljatelj i primatelj, a ta vrijednost naziva se ključem. Podrazumijeva se da su strane koje sudjeluju u komunikaciji dogovorile ključ na način da njegova sigurnost nije upitna. Slikom 6. 7. 1. 1. prikazan je dijagram tijeka kriptiranja podataka tajnim ključevima.

Kriptiranje

Ključ: šifraČisti tekst

DESTekstporuke

Hcv opwi% ;# gp4

Tekstporuke

Hcv opwi% ;# gp4

Čisti tekst

Dekriptiranje

Ključ: šifra

DES

Kriptirani tekst

Prijenos

Kriptirani tekst

Kriptiranje(simetrično)

Dekriptiranje(simetrično)

Slika 6. 7. 1. 1. Simetrično kriptiranje

Najrasprostranjenija metoda šifriranja tajnim ključevima je DES (Data Encryption Standard) koji je 70-ih godina razvijen od strane IBM-a. DES transformira poruku u šifrirani tekst (eng. ciphertext). Primatelj koristi poseban ključ za dešifriranje šifriranog teksta i rekonstrukciju originalne poruke.

6. 7. 2. Kriptiranje javnim ključevima

Za šifriranje javnim ključevima svaki korisnik posjeduje dva matematički vezana ključa. Jedan se čuva privatno, a drugi se stavlja u sigurnu javnu bazu. Svatko tko želi poslati poruku danom korisniku šifrira poruku korisnikovim javnim ključem. Kada takva poruka pristigne, korisnik je dešifrira svojim privatnim ključem. U ovom slučaju, razmjena ključeva nije potrebna, što smanjuje mogućnost kompromitiranja sigurnosti. Slikom 6. 7. 2. 1. prikazan je dijagram tijeka kriptiranja podataka javnim ključevima.

73


Kriptiranje

Javni ključ:93511

Čisti tekst

RSATekstporuke

Hcv opwi% ;# gp4

Tekstporuke

Hcv opwi% ;# gp4

Čisti tekst

Dekriptiranje

Privatni ključ:78237

RSA

Kriptirani tekst

Prijenos

Kriptirani tekst

Kriptiranjejavnim ključem

Dekriptiranjeprivatnim ključem

Slika 6. 7. 2. 1. Asimetrično kriptiranje

Najpopularnija metoda šifriranja javnim ključevima jest RSA, nazvana prema Rivestu, Shamiru i Adelmanu, ljudima koji su razvili tu metodu. RSA algoritam temelji se na tome da ne postoji metoda faktoriranja velikih brojeva. Zbog toga bi pokušaj otkrivanja vrijednosti privatnog ključa manipulacijom odgovarajućeg javnog ključa zahtijevao ogromnu procesorsku moć tijekom vremenskog razdoblja koje se mjeri godinama. Zbog tog razloga, RSA je postao de facto standard za šifriranje javnim ključevima, a posebno za prijenos podataka preko Interneta.

6. 8. Očuvanje privatnosti računalnog sustava Vatrozid (eng. Firewall) je u svijetu računala uređaj kojim štitimo privatni dio mreže od javnog dijela. Primarna mu je funkcija omogućivanje kontroliranog pristupa iz privatnog dijela mreže na Internet i obratno. Na vatrozid se može gledati kao na skup veoma različitih mehanizama koji se mogu podijeliti na dva osnovna principa, jedan koji služi sprječavanju prometa paketa u mreži i drugi koji služi omogućavanju prometa u mreži [38]. Vatrozidi osiguravaju spajanje na Internet, propuštajući ili odbijajući pojedine konekcije koje se pokušavaju uspostaviti između unutrašnje i vanjske mreže, npr. Interneta. Napredni vatrozidi štite mrežu na svim programskim slojevima, od podatkovnog sloja sve do aplikacijskog. Vatrozidi se postavljaju na granici mreže te omogućuju pristup drugim mrežama. Ovaj koncept je bitan jer bez njega svako računalo na mreži trebao bi obavljati iste funkcije kao i vatrozidi, trošeći na taj način vlastite resurse (povećavajući potrebno vrijeme za ostvarivanje konekcije, autentifikaciju, kriptiranje podataka) zagušujući mrežu. Koristeći vatrozid omogućena je centralizacija svih sigurnosnih servisa na jednom uređaju optimiziranom za izvršavanje tih zadataka. Vatrozidi stvaraju "uska grla" (eng. bottlenecks) između unutarnjih i vanjskih mreža jer cijeli promet među mrežama prolazi kroz jednu kontrolnu točku. Pored toga, ovo je mala cijena za postizanje sigurnosti. Također, dok je brzina vanjske konekcije

74


relativno mala u odnosu na brzinu današnjih računala, kašnjenje prouzročeno vatrozidom može biti zanemareno. Primarne funkcije vatrozida koriste tri osnovne metode:

• Filtriranje paketa Filtriranjem paketa odbacuju se TCP/IP paketi od neovlaštenih računala i pokušaja konekcije neovlaštenih servisa.

• Maskiranje mrežnih adresa Maskiranje mrežnih adresa postiže se translacijom IP adresa računala unutrašnje mreže s ciljem skrivanja od vanjskog monitoriranja.

• Proxy servis Proxy servis stvara aplikacijsku konekciju od strane računala unutrašnje mreže s ciljem potpunog prekida mrežnih konekcija između unutarnjih i vanjskih računala.

Većina vatrozida pružaju i još dva važna sigurnosna servisa:

• Kriptirani tuneli ili virtualne privatne mreže (eng. virtual private networking) Kriptiranim tunelima stvaraju se sigurnosne konekcije između dviju privatnih mreža preko javnog medija kao što je Internet.

• Kriptirana autentifikacija Kriptiranom autentifikacijom omogućeno je korisnicima javne mreže predstavljanje identiteta vatrozidu s ciljem pristupa privatnoj mreži s vanjskih lokacija.

Naravno, moguće je korištenje uređaja ili servera koji pružaju samo jednu od navedenih funkcija. Na primjer, postavljanjem usmjerivača koji pruža filtriranje paketa te proxy servera na drugom uređaju. Ovakva situacija je manje sigurna od slučaja kad se koristi jedan vatrozid koji pruža obje funkcije jer router mora propustiti promet do proxy servera ili se proxy server mora smjestiti izvan mreže bez zaštite filtriranja paketa. Oba slučaja su manje sigurna od korištenja jednog vatrozida koji pruža sve sigurnosne funkcije.

6. 8. 1. Paketno filtriranje

Prvi vatrozidi su bili samo paketni filteri. Filteri uspoređuju pakete mrežnih (kao IP protokol) i transportnih protokola (kao TCP protokol) s pravilima zapisanih bazom podataka te prosljeđuju samo one pakete koji se poklapaju s kriterijima specificiranim u bazi pravila. Dakle, paketni filteri su uređaji koji odbacuju neželjene pakete s obzirom na izvorišnu adresu, odredišnu adresu ili vrstu podataka specificiranu brojem TCP porta. Filteri mogu biti implementirani unutar usmjerivača ili u TCP/IP stackovima servera. Sljedećom slikom prikazan je princip rada paketnog filtriranja. Prema pravilima definiranim na vatrozidu, dozvoljen je prolaz samo TCP paketima na portovima 80 (Web), 25 (Mail) i 21 (FTP). Dok je promet na svim ostalim portovima zabranjen. Na primjer, udaljenom korisniku nije dozvoljen pristup unutrašnjoj mreži koristeći pcAnywhere.

75


NetBIOS

pcAnywhere

PC

Radna stanicaHub

Server

ModemKorisnik

Firewall

Unutrašnja mreža

Web

Internet

NapadačModem

Modem

Udaljeni korisnik

Vanjska mreža

Pravila vatrozidaSvi potovi su zabranjeni osim:

TCP port 80 (Web)TCP port 25 (Mail)TCP port 21 (FTP)

Slika 6. 8. 1. 1. Paketno filtriranje Prednosti korištenja paketnog filtriranja su sljedeće:

• Jedan uređaj štiti cijelu mrežu Jedna od najvažnijih značajki paketnog filtriranja je u tome što jedan strateški dobro konfiguriran router za filtriranje paketa štiti cijelu mrežu. Ukoliko se lokalna mreža spaja na Internet preko samo jednog usmjerivača, postavljajući na njemu filtriranje paketa znatno se povećava sigurnost mreže.

• Velika efikasnost Jednostavno filtriranje paketa je vrlo efikasno. Budući da filtriranje paketa zahtjeva pregledavanje samo nekoliko zaglavlja paketa, cijeli proces se odvija s vrlo malim zakašnjenjem.

• Široka dostupnost Produkti za implementaciju paketnog filtriranja su dostupni u mnogobrojnim hardwareskim i softwareskim routerskim proizvodima i to komercijalnim ili besplatnim koji su dostupni na Internetu. Mnogi komercijalni routerski produkti standardno uključuju mogućnost paketnog filtriranja.

Nedostaci u korištenje paketnog filtriranja su sljedeći:

• Alati za filtriranje nisu savršeni Pored toga što su alati za paketno filtriranje široko rasprostranjeni i dostupni u različitim hardwareskim i softwareskim proizvodima, paketno filtriranje još uvijek nije savršeno. Postoje ograničenja pri razvoju i implementaciji alata za filtriranje, kao što su zahtjevno konfiguriranje pravila za filtriranje, jednom konfigurirana pravila teško je testirati, propusti i neispravnosti alata za filtriranje itd.

• Smanjenje performansi routera Kompleksno filtriranje paketa zahtjeva više rada na routeru, ali u nekim slučajevima i jednostavno filtriranje može zauzeti mnogo resursa routera.

• Nemogućnost implementacije neke od zabrana

76


Neke od željenih pravila preusmjeravanja nije moguće implementirati. Na primjer, paketi sadrže informacije kojem hostu su namijenjeni, ali ne i kojem korisniku. Dakle, zabrane na nivou korisnika nisu moguće. Slično tome je i situacija da paketi nose informaciju na koji se port prenose, ali ne i koja je aplikacija u pitanju. Prema tome zabrane na višem nivou protokola vrše se preko brojeva portova nadajući se da se ništa drugo ne izvršava na tom portu. Postoje tzv. inteligentni paketni filteri koji rješavaju slične probleme, ali glavni nedostatak je povećanje vremena kašnjenja.

6. 8. 2. Maskiranje mrežnih adresa

Maskiranje mrežnih adresa vrši se translatiranjem mrežnih adresa unutrašnje mreže s ciljem predstavljanja situacije da sav mrežni promet dolazi iz jedne točke. Na taj način omogućuje se korištenje jedne skupine mrežnih adresa interno i druge skupine za rad s vanjskim mrežama, tj. omogućeno je skrivanje identiteta klijenata unutrašnje mreže. Maskiranje mrežnih adresa ne pruža direktnu sigurnost sustavu, ali pomaže u očuvanju tajnosti konfiguracije unutrašnje mreže i forsiranje da se konekcija uspostavlja kroz jednu kontrolnu mrežu. Naime, konekcija na netranslatiranu adresu neće raditi, a kontrolna točka vrši translaciju mrežnih adresa. Princip rada maskiranja mrežnih adresa prikazan je sljedećom slikom. Iz slike je vidljivo, kad se gleda sa strane vanjske mreže ispada da cijeli promet dolazi iz jedne točke te da se sustav za maskiranje adresa koristi TCP portovima da bi sačuvao put spajanja vanjskog i unutrašnjeg računala.

Klijent

Klijent

HubServer

Modem

Firewall

Unutrašnja mreža

Internet

NapadačModem

Modem

Vanjska mreža

10.1.6.21:3160 38.211.7.35:4121 10.1.6.1:1031 192.26.35.75:421010.1.6.22:3210 38.221.7.35:4123 10.1.6.1:1033 192.26.35.75:4322

Klijent

10.1.6.21

10.1.6.22

Web Server

Udaljeni korisnik

38.221.7.35

192.26.35.75

Vanjska mrežaUnutrašnja mreža

10.1.6.1

Slika 6. 8. 2. 1. Maskiranje mrežnih adresa Glavna prednost maskiranja mrežnih adresa je ekonomizacija adresnog prostora, ali i sljedeće sigurnosne značajke:

• Forsiranje korištenja vatrozida

77


Ukoliko su na pojedinim računalima postavljene mrežne adrese koje ne mogu biti korištene na vanjskoj mreži, nužno je korištenje sustava za translaciju mrežnih adresa. Ako računalo i pronađe put za spajanje na vanjsku mrežu zaobilazeći translaciju adrese, konekcija neće raditi.

• Pomoć u restrikciji ulaznog prometa U ovisnosti o konfiguraciji sustava translacije mrežnih adresa, moguće je postavljanje jačih restrikcija na ulazni promet u odnosu na paketno filtriranje. Sustavi koji koriste dinamičku translaciju adresa dozvoljavaju prolaz unutra samo paketima koji su dio trenutne interakcije, tj. postavljeni su veći vremenski zahtjevi za napadače. U ovom slučaju ukoliko napadač prilikom neovlaštenog upada ne reagira neko vrijeme, sustav za translaciju mrežnih adresa poništava adresu ili je dodjeljuje nekom drugom računalu.

• Zaštita tajnosti mrežne konfiguracije Sustav za translaciju mrežnih adresa stvara situaciju mnogo težom za napadača u pokušaju utvrđivanja koliko računala je u mreži, koje su vrste i kako su konfigurirani.

Sljedeći nedostaci su prisutni pri korištenju maskiranja mrežnih adresa:

• Prepoznavanje mrežnih adresa Sustav za translaciju mrežnih adresa obično translatiraju adrese koje se nalaze u zaglavljima paketa. Pojedini protokoli skrivaju adrese te zbog toga potrebno je da sustav za translaciju mrežnih adresa poznaje protokol dovoljno dobro da bi uspio promijeniti adresu. Većina sustava za translaciju mrežnih adresa je u mogućnosti to napraviti barem za nekoliko protokola, ali ne sve.

• Dinamičko alociranje zahtjeva čuvanje stanja Sustavom za translaciju mrežnih adresa jednostavno je saznati je li računalo prekinulo TCP konekciju. Međutim, ne postoji način da bi se saznalo na nivou zaglavlja paketa je li UDP paket dio procesa konverzije ili je izolirani događaj, tj. je li prekinuta UDP konekcija. To znači da u sustavu za translaciju mrežnih adresa mora biti definirano koliko dugo će se čuvati trenutna translacija jer postoji opasnost gubitka odgovora ili dostavljanja odgovara pogrešnom računalu.

• Dinamičko alociranje portova se preklapa s paketnim filtriranjem Sustavi za paketno filtriranje pregledavaju izvorišni i odredišni broj porta s ciljem saznanja koji je protokol korišten. Promjenom izvorišnog porta može doći do promjene paketa. U većini slučajeva ovo nije problem jer sustavi za translaciju mrežnih adresa vrše translaciju za klijente koji su obično ovlašteni za korištenje bilo kojeg porta poviše 1023. Međutim, ukoliko portovi poviše 1023 su translatirani u portove ispod 1023, moguće je da promet bude odbačen.

• Mogući problemi sa sustavima za kriptiranje podataka i autentifikaciju Sustavi za kriptiranje podataka osiguravaju integritet podataka tako da sustavi koji komuniciraju znaju da su podaci sigurno preneseni. Ukoliko korišteni protokol ne zaštićuje podatke koje mijenjaju sustavi za translaciju mrežnih adresa, onda nema problema. Suprotno, provjera integriteta neće proći i konekcija će biti prekinuta. Kod većine protokola zaglavlja paketa nisu u dijelu zaštićenih podataka protokola. Glavna iznimka za ovo pravilo je IPsec protokol koji zaštićuje sve pakete uključujući i zaglavlja.

78


6. 8. 3. Proxy servis

Općenito možemo reći da je proxy netko ili nešto što nešto radi u ime nekog drugog. Proxy servis je specijalizirana aplikacija ili serverski program koji preuzima upite za Internet servisima (kao FTP ili Telnet) od strane korisnika te ih zatim prosljeđuje aktualnim servisima na način da izgleda da su upiti postavljeni od strane proxy servera. Zbog načina rada proxy serveri se nazivaju i aplikacijskim usmjerivačima (eng. application – level gateway). Korištenjem proxy servisa skriva se identitet klijenta te se omogućuje spremanje (eng. cashe) čestih upita na proxyu te na taj način poveća brzina protoka podataka na sporim linijama s Internetom. Sljedećom slikom prikazan je princip rada proxy servisa.

Klijent

Klijent

HubServer

Modem

Firewall

Unutrašnja mreža

Internet

NapadačModem

Vanjska mreža

Klijent

Udaljeni korisnik

www.fer.hr:80URL: "www.fer.hr/zesoi/lss"

www.fer.hr:80URL: "www.fer.hr/zesoi/lss"

Proxy server:8080URL: "www.fer.hr/zesoi/lss"

Router

Router

Javne Web stranice

Slika 6. 8. 3. 1. Proxy servis Prednosti korištenja proxy servisa su sljedeće:

• Pohrana upita (eng. cashing) Budući da svi upiti moraju proći kroz proxy servis moguće je da proxy obavlja cashing upita, tj. lokalno spremanje kopija podataka. Ukoliko je broj ponovljenih upita velik, cashiranjem znatno se povećavaju performanse sustava.

• Inteligentno filtriranje Proxy servis pregledava za specifičnom konekcijom pa je stoga moguće vršenje inteligentnije filtriranje od paketnog filtriranja. Na primjer, proxy servis je mnogo bolji u filtriranju HTTP protokola po vrsti sadržanih podataka (kao uklanjanje Java ili JavaScript) ili je mnogo efikasniji u prepoznavanju računalnih virusa od sustava za paketno filtriranje.

• Autentifikacija na nivou korisnika Budući da je proxy sustav aktivno uključen u konekciju, moguće je autentificirati korisnika i poduzeti određenu akciju u ovisnosti o radnjama samog korisnika. Naravno, ovo je mnogo teže postići paketnim filtriranjem.

79


Nedostaci u korištenja proxy servisa su sljedeći:

• Neproxy servisi Proxy programski paketi su široko dostupani za starije i jednostavnije servise poput FTP-a i Telneta, dok provjereni programski paketi za novije i manje rasprostranjene servise je teško nabaviti. Sve dok adekvatan proxy programski paket nije postavljen, sustave kojima su nužni takvi novi servisi trebali bi biti smješteni izvan vatrozida budući da predstavljaju potencijalne propuste u sigurnosti cijelog sustava.

• Proxy servis za svaki pojedini protokol Moguća je situacija u kojoj je potrebno postaviti različite proxy servere za svaki pojedini protokol. Razlog tome je taj što proxy server mora poznavati protokol s ciljem utvrđivanja što je dozvoljeno, a što ne te s ciljem maskiranja klijenata serveru, kao i servera proxy klijentu. Skupljanje, instalacija i konfiguracija svih različitih servera može biti vrlo zahtjevna. Naravno, moguće je koristiti generic proxy koji pruža zaštitu i funkcionalnost kao i paketno filtriranje.

• Modifikacija klijenata, aplikacija i/ili procedura Pored servisa dizajniranih za obavljanje proxinga, potrebna je modifikacija klijenata, aplikacija i/ili procedura. Ove modifikacije donose nove probleme. Na primjer, korisnici nisu uvijek u mogućnosti koristiti neke od alata prema njihovim standardnim uputama, proxy aplikacije ne rade uvijek jednako kao i neproxy aplikacije itd.

6. 8. 4. Virtualne privatne mreže

Kriptirani tuneli se često nazivaju i virtualnim privatnim mrežama. Njima je omogućeno sigurno spajanje dviju fizički odvojenih privatnih mreža preko javne mreže (kao Internet) bez izlaganja podataka monitoriranju. Sami kriptirani tuneli mogu biti uspješno napadnuti raznim alatima prilikom uspostavljanja kriptirane konekcije. Međutim, ukoliko se implementiraju kao integrirani dio vatrozida, autentifikacija preko vatrozida i sigurnosni servisi služe da osiguravaju sigurno uspostavljanje kriptiranog tunela. Virtualne privatne mreže su način implementacije kriptografske zaštite podataka s ciljem korištenja javne mreže kao da je privatna mreža. S ciljem osiguranja privatnosti, brze veze na velikim udaljenostima između dviju domena mnogo su skuplje od spajanja istih domena preko javne mreže, ali i mnogo sigurnije. Virtualna privatna mreža je kombinacija korištenja prednosti javne mreže (manja cijena i široka dostupnost) i privatne mreže (sigurnost).

80


Tunel

Unutrašnja mreža

Internet

Unutrašnja mrežaVanjska mreža

Zagreb Split

Tunel

Slika 6. 8. 4. 1. Virtualna privatna mreža Najvažniji razlog korištenja virtualnih privatnih mreža je ekonomski, ali virtualne privatne mreže pružaju i sljedeće sigurnosne značajke:

• Omogućena je sveukupna kriptografija podataka Virtualne privatne mreže obuhvaćaju cijeli promet koji se koristi. Ne samo da imamo garanciju da su sve informacije kriptirane, nego i da neovlaštene osobe ne mogu doći do informacije koje se unutrašnje računalo koristi i koji je korišteni protokol.

• Mogućnost udaljenog korištenja protokola koje je teško osigurati na drugi način Neki od protokola su ekstremno teški za korištenje sigurnog prijenosa podataka kroz vatrozid. Na primjer, nekoliko protokola koje koriste Microsoft sustavi su bazirani na SMB (Server Message Block) protokolu, koji omogućuje više različitih servisa s različitim sigurnosnim implementacijama preko istog porta. Paketnom filtriranju i proxy servisu je vrlo teško dodati sigurnost za SMB protokol. Virtualne privatne mreže omogućuju siguran udaljen pristup ovim protokolima.

Iako su virtualne privatne mreže važan sigurnosni alat, prisutni su sljedeći nedostaci:

• Opasnost za računala spojena na javnu mrežu Virtualna privatna mreža radi preko aktualne mreže koja nije privatna i sigurna mreža. Računala na virtualnim privatnim mrežama moraju biti spojeni na tu aktualnu mrežu te su u opasnosti od neovlaštenih upada. Na primjer, ukoliko koristimo virtualne privatne mreže za spajanje unutrašnje mreže s mobilnim korisnicima koji su spojeni na Internet, njihova računala mogu biti napadnuta s Interneta.

• Opasnost od neovlaštenih upada u unutrašnju mrežu Kada stupimo u kontakt s nekim preko virtualne privatne mreže stvaramo ga dijelom unutrašnje mreže. Ukoliko je na računalu virtualne privatne mreže napravljen neovlašteni upad, napadač je u mogućnosti preko virtualne privatne mreže ugroziti sigurnost ostalih računala unutrašnje mreže. Virtualne privatne mreže se koriste za pružanje pristupa računalima koja su manje sigurna od

81


računala unutrašnje mreže. Na primjer, kod prijenosnih računala postoji opasnost od krađe, kućnim računalima djeca imaju pristup itd.

6. 8. 5. Kriptirana autentifikacija

Kriptirana autentifikacija omogućuje vanjskim korisnicima predstavljanje vatrozidu kao ovlaštenih korisnika te na osnovu toga uspostavljanje konekcije kroz vatrozid s unutrašnjom mrežom. Jednom nakon što se uspostavi veza, veza može i ne mora biti kriptirana. To ovisi o samom vatrozidu i o eventualnom dodatnom programskom paketu za podršku kriptiranih tunela na strani klijenta. Korištenje kriptirane autentifikacije je standard jer se nalazi na transportnom sloju između programskog paketa klijenta i vatrozida. Jednom kad se veza uspostavi sve uobičajene aplikacije i dijelovi operacijskih sustava namijenjeni za prijavu rada funkcioniraju bez posebnih dodataka, tj. nije potrebno korištenje specijalnih programskih paketa koji podržavaju specifični vatrozid. Nažalost, kriptirana autentifikacija smanjuje sigurnost vatrozida. Zbog načina rada prouzrokuje sljedeće probleme:

• vatrozid mora odgovoriti na određenom portu jer osluškuje za novim pokušajima uspostave konekcije. Na ovaj način napadači mogu saznati postoji li vatrozid

• konekciju nakon njene uspostave moguće je preusmjeriti korištenjem ICMP (Internet Control Message Protocol) protokola, posebno ukoliko nije kriptirana

• napadači koji monitoriraju uspostavljanje konekcije u mogućnosti su preuzeti (eng. spoof) adresu autoriziranog klijenta s ciljem ostvarenja pristupa unutrašnjoj mreži bez preusmjeravanja bilo koje postojeće konekcije

• ukradena prijenosna računala s odgovarajućim ključevima mogu biti korištena za pristup unutrašnjoj mreži

• kućna računala mogu postati ciljem neovlaštenog upada i zatim upada u unutrašnju mrežu jer je računalo u mogućnosti pristupiti unutrašnjoj mreži

• autentifikacijske procedure mogu sadržavati sigurnosne propuste što vješti napadači mogu iskoristiti za neovlaštene upade.

6. 9. Otkrivanje zlonamjernog kôda Velike prijetnje sigurnosti računalnih sustava predstavlja pokretanje zlonamjernog programskog kôda. Zlonamjernim programskim kôdom podrazumijevamo programe koji na bilo koji način narušavaju sigurnost resursa sustava. Takve programe često nazivamo i računalnim virusima, iako bi računalni virusi trebali biti podvrsta zlonamjernih program koji imaju svojstvo da za širenje po računalu ili mreži koriste metodu samokopiranja.

6. 9. 1. Tehnike otkrivanja

Efektivna otkrivanja zlonamjernih kôdova, računalnih virusa glavna je tehnika prevencije virusne infekcije sustava. Postoje tri skupine tehnika otkrivanja računalnih

82


virusa koje se uglavnom koriste. To su tehnika pretraživanja, kontrolnog zbroja i heuristička tehnika [39].

• Pretraživači Pretraživači (eng. scanners) su najpopularnija i najčešće korištena tehnika otkrivanja zlonamjernog kôda. Tehnika se bazira na saznanjima o karakteristikama određenih računalnih virusa s ciljem njihovog otkrivanja. Programi za detekciju ove skupine sadrže detekcijsko/dezinfekcijske informacije za sve poznate računalne viruse. One su intuitivne za korištenje te su sposobne identificirati viruse, na primjer datoteka XXX.EXE inficirana je virusom "YYY". Sljedećom slikom prikazan je primjer pretraživanja programskog kôda gdje se osjenčani okteti (eng. byte) koriste za otkrivanje određenog zlonamjernog kôda.

Programski kôdStrojini kôd0EF2 : 05010EF2 : 05020EF2 : 05040EF2 : 05070EF2 : 05080EF2 : 050C0EF2 : 050D0EF2 : 05120EF2 : 05140EF2 : 05180EF2 : 051B0EF2 : 051D0EF2 : 051F0EF2 : 05200EF2 : 0521

FA8BECE800005B81EB31012EF6872A0101740F8DB74D01BC820631343124464C75F8

CLIMOV BP,SPCALL 0507POP BXSUB BX,0131CS:TEST BYTE PTR [BX+012A],01JZ 0523LEA SI, [BX+014D]MOV SP,0682XOR [SI],SIXOR [SI],SPINC SIDEC SPJNZ 051B

Datoteka 1:Datoteka 1:Datoteka 1:Datoteka 1:

Slika 6. 9. 1. 1. Korištenje osjenčanih okteta za otkrivanje

Glavni nedostatak ove skupine je u tome što ukoliko je računalni virus nepoznat mehanizmu pretraživanja, virus neće biti prepoznat. Iz ovoga proizlazi da je potrebno biti u toku sa zadnjim verzijama virusnih informacija, tj. vršiti redovitu dogradnju mehanizma pretraživanja s ciljem održavanja funkcionalnosti. Dva su najčešće korištena tipa pretraživača. To su pretraživanje na zahtjev (eng. on-deamand) i pri pristupu (eng. on-access). Pretraživanje na zahtjev

Pretraživanje na zahtjev predstavlja pregledavanje svih ili određenih datoteka na zahtjev korisnika. Glavni nedostatak je potreba za iniciranjem ili vremenski određenim pokretanjem (eng. schedule) pretraživanja od strane korisnika. Pretraživanje pri pristupu

Pretraživači pri pristupu stalno se nalaze u memoriji te transparetno vrše virusnu provjeru, bez intervencije korisnika. Nedostatak ove tehnike je opterećenje CPU jedinice i zauzeće radne memorije.

• Kontrolni zbroj Tehnika kontrolnog zbroja (eng. checksummers) bazira se na otkrivanju promjena. U slučaju virusne infekcije određenog objekta, karakteristike objekta

83


će se primijeniti. Nastala promjena biti će primijećena od strane pretraživača. Kod izvršnih datoteka koje se obično ne modificiraju (osim u slučaju zlonamjernih aktivnost, dogradnje programa itd.), neočekivana izmjena biti će istražena. Antivirusni programi kontrole zbroja prepoznat će poznate, ali i nepoznate računalne viruse. Sljedećom slikom prikazan je utjecaj razlike od jednog bita između dviju datoteka u izračunavanju checksummera.

Checksum: Checksum: 567FB183707FC67623

Datoteka 1: Datoteka 2:

010101000101000101001001010001010010000000100

100001000001010100001010100

010101000101000101001001010001010010000000100

100101000001010100001010100

Slika 6. 9. 1. 2. Utjecaj razlike od jednog bita između dviju datoteka

Prednost korištenja ove tehnike je u tome što nije potrebno nikakvo predznanje o računalnom virusu s namjerom njegovog detektiranja. Glavni problem proizlazi iz nemogućnosti raspoznavanja legitimnih promjena od zlonamjernih promjena. Drugim riječima, dobivenim rezultatima potrebna je napredna interpretacija, a što može biti problematično, na primjer kod dokumenata koji se vrlo često modificiraju. Sljedeći problem je u tome što korištenjem ove tehnike u mogućnosti smo detektirati računalni virus jedino nakon što se infekcija virusom dogodila, tj. nije moguća prevencija infekcije računalnim virusom.

• Heuristička tehnika Heuristička (od grčke riječi heuriskein, otkriti, pronaći) tehnika koristi se za poboljšanje efikasnosti sustava namijenjenim za pronalaženja solucija kod kompleksnih problema. U kontekstu antivirusnog programa, koristi se za opisivanje programa koji sadrži pravila da razlikovanje zlonamjernog kôda od legitimnog, na osnovi općih pravila o ponašanju i karakteristikama računalnih virusa. Antivirusni programi koji koriste ovu tehniku zanimljivi su iz razloga što teoretski dogradnja (eng. update) nije potrebna. Praktično problem heurističkih tehnika je tu tome što napadači koji stvaraju zlonamjerne programe vrlo brzo svladavaju pravila koja koriste heuristički programi te stvaraju zlonamjerne programe koji ih zaobilaze, te je iz tog razloga potrebna dogradnja s novim pravilima za prepoznavanje. Glavni nedostatak heurističkih programa je i sklonost javljanju lažnih upozorenja, tj. označavanju objekata računalnim virusom u slučaju kad je objekt legitiman. Broj prijavljenih lažnih upozorenja može biti neprihvatljivo velik.

Dodatne mjere koje je moguće poduzeti su informiranje i educiranje korisnika. sprječavanje korištenja rizičnih sadržaja (npr. rizični su .DOC, .XLS, .EXE itd., a nerizični .RTF), ispravno ugađanje BIOS postavki (onemogućeno startanje s floppy diska), korištenje programa za pregledavanje (eng. viewer) umjesto aplikacija i sl.

84


6. 10. Detekcija neovlaštenih upada Detekcija neovlaštenih upada (eng. intrusion detection) predstavlja izrazito važnu komponentu čitavog sigurnosnog sustava. Sigurnosne mehanizme računalnog sustava potrebno je tako dizajnirati da onemogućavaju neovlašteni pristup računalnim resursima i podacima. Međutim, kako je u praksi potpuno sprječavanje neovlaštenog pristupa nemoguće izvesti, današnja dostignuća sigurnosnih sustava pokušavaju detektirati neovlaštene aktivnosti na osnovu kojih se poduzimaju određene akcije prije nego što je neovlašteni korisnik ugrozio ili narušio sigurnost računalnog sustava. Anderson [40], koji je predstavio koncept detekcije neovlaštenih upada još 1980. definira pokušaj upada ili ugrožavanje sigurnosti sustava (eng. intrusion attempt) kao pokušaj pristupa privatnim informacijama, manipulacijom tih informacija ili pokušajem onesposobljavanja ili sprječavanja rada udaljenog računalnog sustava. Detekcija neovlaštenih aktivnosti zasnovana je na skupljanju informacija sa čitavog niza mrežnih i računalnih izvora te analiziranju tih informacija sa ciljem otkrivanja eventualnih nedozvoljenih aktivnosti i zloporaba.

6. 10. 1. Potreba za IDS alatima

Velika učestalost napada na računalne sustave implicira nužnost uporabe alata za detekciju neovlaštenih upada (Intrusion Detection System, IDS) s ciljem provođenja i uspostavljanja sigurnosne politike organizacije na javno, ali i interno dostupnim računalnim sustavima. Istraživanja pokazuju da većina neovlaštenih upada u računalne sustave dolazi upravo sa internih računalnih mreža, odnosno zaposlenika organizacija [12]. Postoje dva načina sprječavanja neovlaštenih aktivnosti korisnika. Prvi način je izrada potpuno sigurnog računalnog sustava. Moguće je napraviti takav računalni sustav koji će zahtijevati od svih korisnika potpunu identifikaciju i autentifikaciju, te koji će zaštititi podatke različitim kriptografskim metodama i vrlo striktnim mehanizmima za kontrolu pristupa. Međutim, ovo rješenje nije moguće izvesti iz nekoliko razloga. U praksi, nije moguće izraditi potpuno sigurni računalni sustav. Miller [4] daje iscrpan izvještaj o sigurnosnim propustima popularnih programa i operacijskih sustava, koji ukazuje da (a) ne postoji operacijski sustav ili program bez sigurnosnih rupa i (b) da se proizvođači niti ne trude napraviti takav operacijski sustav ili program. Dizajniranje i implementiranje potpuno sigurnog računalnog sustava je izrazito kompliciran zadatak. Osim toga, kriptografske metode imaju druge probleme – zaporke je moguće otkriti, korisnici mogu izgubiti ili zaboraviti svoje zaporke i cijeli kriptografski sustavi mogu biti provaljeni. Osim navedenih sigurnosnih propusta potrebno je napomenuti da i na potpuno siguran sustav može biti provaljeno ukoliko korisnici iznutra zloporabe svoje korisničke privilegije. Drugi način sprječavanja neovlaštenih aktivnosti korisnika upravo je otkrivanje tih aktivnosti. Ukoliko postoji napad na određeni računalni sustav, potrebno je taj napad detektirati što je prije moguće (poželjno u stvarnom vremenu) da bi se mogla poduzeti odgovarajuća akcija. Ovo esencijalno predstavlja predmet rada alata za detekciju neovlaštenih upada (IDS-a). IDS alati obično ne poduzimaju preventivne

85


mjere kada su detektirane neovlaštene aktivnosti, već obično samo obavještavaju za to nadležne osobe. Najčešći način detektiranja neovlaštenih aktivnosti implementiran u IDS alatima je pregledavanje logova generiranih od strane operacijskog sustava. Logove predstavljaju zapisi aktivnosti korisnika na računalnim sustavima koji su zapisani u pojedine datoteke kronološkim redoslijedom. Budući da se u njih zapisuju sve aktivnosti korisnika, neovlaštene aktivnosti je moguće detektirati i ručnim pregledavanjem datoteka sa logovima od strane administratora sustava. Međutim, ove datoteke su iznimno velike što ručno pregledavanje čini nemogućim. IDS alati automatiziraju pregledavanje datoteka sa logovima. U mnogo slučajeva, čak i nakon napada, važno je analizirati podatke o aktivnostima iz log datoteka kako bi se mogla ustanoviti pričinjena šteta ili otkrivanje neovlaštenih korisnika, kao i koraci koje je potrebno poduzeti da bi se takvi napadi onemogućili u budućnosti. IDS alat se također može koristiti za analiziranje tih podataka. Spaffordov izvještaj [41] koji govori o nužnosti implementiranja IDS alata pokazuje da je krađa informacija porasla za 250% u zadnjih 5 godina, da je 99% velikih organizacija prijavilo barem jedan sigurnosni incident i da šteta pričinjena neovlaštenim upadima u računalne sustave raste na 10 milijardi US dolara godišnje. Zbog ovdje navedenih činjenica vidimo nužnost implementacije dobrog IDS alata na računalne sustave.

6. 10. 2. Implementacija IDS alata

Prilikom postavljanja IDS alata administratori mrežnih sustava moraju odgovoriti na dva ključna pitanja: gdje je potrebno postaviti IDS alat i kako će funkcionirati taj IDS alat? Što se tiče pitanja gdje, IDS može biti postavljen na računalu na kojem rade korisnici, na mreži gdje skuplja podatke ili u kombinaciji računala i mreže. Drugo pitanje je kompliciranije. Većina današnjih komercijalnih IDS paketa koristi jedan od dva pristupa za detektiranje neovlaštenih aktivnosti: pregledavanje eksplicitnih potpisa poznatih napada ili pregledavanje za statističke anomalije preko poznatih uzoraka. Ova dva pristupa za detektiranje neovlaštenih aktivnosti u suprotnosti jedan sa drugim. Prvi pristup pregledava eksplicitno podatke za koje se zna da su neovlašteni dok drugi smatra bilo koju anomaliju implicitno neovlaštenom. Naravno, postoje dobre i loše strane svakog od ovih pristupa.

6. 10. 3. Detekcija potpisima

Detekcija potpisima je prilično jednostavna za implementaciju [42]. Ovaj način podrazumijeva skupljanje podataka mrežnog prometa ili zapisa iz sigurnosnih logova. Podaci koji su ovako dobiveni šalju se u pretraživački program gdje se uspoređuju sa predefiniranim potpisima za napade neovlaštenih korisnika (uzorci ili atributi koji definiraju napad). Ako jedna grupa ovih podataka odgovara potpisu za pojedini napad, podaci se dalje šalju na funkciju za odgovor IDS alata.

86


Podudarnostpravila?

Informacijao vremenu Dodavanje novih pravila

ProfilsustavaPodaci

Promijena postojećih pravila

Stanjenapada

Slika 6. 10. 3. 1. Detekcija potpisima

Glavni nedostatak IDS alata koji koriste metodu detekcije potpisima je očita. Naime, oni mogu detektirati samo napad koji je eksplicitno definiran u potpisima koji se nalaze u njihovoj bazi (kao i alati za detektiranje virusa). Problem koji s time nastaje je također očit, što je potpis za pojedini napad općenitiji to će IDS alat prijavljivati više lažnih napada. Ove lažno pozitivne detekcije napada znače da ova detekcija neće biti vrlo pouzdana. Dakle, da bi metoda detekcijom potpisa bila efektivna, potpis napada mora biti jako dobro postavljen na granicu između previše općenitog (koji otkriva napade koji ne postoje) i previše specifičnog potpisa (koji izostavlja malo promijenjene napade). Još jedan problem koji je karakterističan za metode detekcije potpisima je problem prevelikog trošenja računalnih resursa. U provedenom istraživanju pokazano je da neovlašteni korisnici obično koriste distribuirane napade prolongirane preko dugih vremenskih perioda. Detektiranje takvih napada sa IDS alatom za detekciju u stvarnom vremenu metodom detekcije potpisa može biti vrlo komplicirano, budući da sustav na kojem se nalazi IDS mora držati ogromne količine podataka za vrijeme dugog perioda. Količina potrebnih računalnih resursa (memorije) tako za takav IDS sustav raste do praktički nemoguće. Da bi detektirali napade koji nastaju u velikom vremenskom razdoblju, neki IDS sustavi procesiraju podatke koji su zapisani prethodno (kao što su mrežni paketi ili logovi). Ova metoda, međutim, povećava zahtjeve za procesorskim vremenom, budući da je potrebno izvoditi veće proračune. Međutim, ovakav način detektiranja može biti prihvatljiv za napade koji traju vrlo dugo budući da će biti detektirani prije nego što su do kraja završeni.

6. 10. 4. Detektiranje statističkim anomalijama

Kao što i ime kaže, ova metoda detektiranja neovlaštenih aktivnosti analizira statistiku skupljenih podataka da bi ustanovila neovlaštene aktivnosti u tijeku. Ovakav IDS alat prvo ustanovljava normalne aktivnosti na mreži ili računalima koja se promatraju. Da bi napravio ovakav profil, IDS alat uzima statističke uzorke računalnih podataka za neko specifično vrijeme normalnih, ovlaštenih, operacija i korištenja sustava. Nakon toga IDS koristi ove podatke za pravljenje karakterističnih atributa sustava i operacija kao što su prosječno korištenje procesorskog vremena, memorije ili količina mrežnog prometa. Statistički uzorci ovih atributa koriste se za izradu profila normalnog korištenja sustava. Nakon toga IDS alat cijelo vrijeme nadgledava praćene atribute i gleda statistički važne devijacije prema ovom profilu. Ako je devijacija uočena, podaci se šalju na IDS-ovu funkciju za odgovor. Neki sustavi bazirani na detektiranju statističkim anomalijama cijelo vrijeme ispravljaju profil normalnog korištenja rabeći sofisticirane algoritme kako bi osigurali da je kompletan sustav za detekciju pouzdaniji tijekom dugog vremena korištenja.

87


Dogradnja profila

Dinamičko generiranje novih profila

StatističkoodstupanjeProfil

sustavaPodaci Stanjenapada

Slika 6. 10. 4. 1. Detekcija statističkim anomalijama

Jedna od glavnih prednosti metode detektiranja statističkim anomalijama je ta da IDS sustav, budući da traži nekarakteristične događaje, može detektirati nove napade. Povijesno gledano, međutim, IDS alati bazirani na ovoj metodi uvijek su generirali veliki broj lažno-pozitivnih i lažno-negativnih napada. S druge strane, ako pojedini napad ne stvara dovoljno veliku promjenu u odnosnu na profil normalnog korištenja sustava, IDS alat koji koristi ovu metodu detektiranja ga neće otkriti. Također, ako greška u profilu normalnog korištenja sustava dovede do generiranja velike promjene sustav će detektirati napad koji zapravo ne postoji. Istraživanja na ovoj metodi se i dalje provode.

6. 10. 5. Odgovor na napade

Kao i metode detekcije, funkcije za odgovor IDS na detektirane neovlaštene aktivnosti variraju od jednog rješenja do drugog, koja uključuju sva moguća zbivanja: od logiranja neovlaštenih aktivnosti za buduće analiziranje do obavještavanja administratora sustava ili mijenjanja konfiguracija mrežnih uređaja. Tradicionalne metode obavještavanja administratora uključuju e-mail, paging i Simple Network Management Protocol (SNMP), koji se koristi za direktnu komunikaciju između sustava i mrežnih komponenata. Ovo su u principu najsigurniji načini odgovora na napade IDS alata. Kao što je i za očekivati, funkcija za odgovor na napade IDS alata koja mijenja konfiguraciju sustava i mrežnih komponenti može biti prilično opasna. Lažno pozitivno detektirani napadi mogu dovesti do sprječavanja normalnog funkcioniranja sustava dok lažno negativne detekcije mogu ostaviti sustav otvoren neovlaštenim korisnicima. U nekim slučajevima, neovlašteni korisnici mogu koristiti i lažne izvore da navedu IDS alat na odgovor na napad na krivo računalo, što efektivno dovodi do smanjenja funkcionalnosti sustava prema toj mreži.

88

Prepoznavanje znakova sigurnosnih incidenata

7. Prepoznavanje znakova sigurnosnih incidenata Ukoliko sumnjamo ili smo obaviješteni da nam je sigurnost računalnog sustava ugrožena, potrebno je utvrditi:

• je li napad u procesu ili se već dogodio

• je li napad uspješno izvršen

• nivo kompromitiranja sustava. Prepoznavanje sigurnosnih incidenata, odnosno prepoznavanje eksploatacije sigurnosnih rizika može biti rutinsko, pomalo izazovno ili ekstremno teško. Moderni računalni sustavi su veliki, kompleksni i nesavršeni dinamički sustavi s mnogo mjesta i mogućnosti za napadače za prikrivanje tragova [43]. Ukoliko u računalni sustav implementiramo cjelokupne sigurnosne mjere zaštite i mehanizme, vrlo je bitno pažljivo nadgledati sustav s ciljem prepoznavanja znakova sigurnosnih incidenata. Nadgledanje može biti komplicirano iz razloga što napadači često prikrivaju svoje aktivnosti mijenjajući sustav koji ugrožavaju. Također, napad je moguće izvršiti bez upozorenja, odnosno da sve izgleda kao da funkcionara normalno. Općenito, smisao sigurnosnih mjera i mehanizama jest sprječavanje neovlaštenih aktivnosti. Budući da mjere i mehanizmi prevencije nisu savršeni, postoji potreba za strategijom rukovođenja sigurnosnim incidentima, a koja uključuje pripremu, prepoznavanje i odgovor. Ovim poglavljem koncentriramo se na pripremu i otkrivanje sigurnosnih incidenata. U slučaju da ne znamo da se računalni napad ili pokušaj napada dogodio, jako je teško ili gotovo nemoguće naknadno utvrditi je li sigurnost sustava kompromitirana. Ukoliko informacije neophodne za prepoznavanje neovlaštenih aktivnosti nisu sakupljene i pregledane, nije moguće ustanoviti koji su resursi sustava ugroženi te koje su karakteristike narušene - povjerljivost, integritet ili raspoloživost. Općenito, pristup prepoznavanju sigurnosnih incidenata sastoji se od sljedećeg:

• promatranje sustava s ciljem pronalaženja bilo čega neočekivanog i sumnjivog

• istraživanje bilo čega neočekivanog i sumnjivog na sustavu

• ukoliko je istraživanjem utvrđena neovlaštena aktivnost, pokretanje hitnih sigurnosnih procedura za odgovor na sigurnosni incident.

Proces otkrivanja sigurnosnih incidenata doima se jednostavnim. Međutim, implementacija je intenzivna aktivnost koja zahtjeva kontinuiranu i automatiziranu podršku te svakodnevne napore administratora sustava. Nadalje, raspon tehnika otkrivanja neovlaštenih aktivnosti može se mijenjati s promjenama prijetnji sigurnosti sustava, konfiguracijama sustava ili zahtjeva sigurnosti računalnih sustava. Sljedećih pet područja potrebno je uzeti u obzir:

• adekvatna priprema koja uključuje određivanje potrebnih sigurnosnih politika i procedura

• integritet sustava za prepoznavanje neovlaštenih aktivnosti

89


• nadgledanje neočekivanog i sumnjivog ponašanja na sustavu

• nadgledanje i sprječavanje fizičke forme neovlaštenih aktivnosti

• biti u toku s događanjima, uključujući istraživanje izvještaja od strane korisnika ili drugih izvora te poduzimanje odgovarajućih akcija u slučaju neovlaštenih aktivnosti.

Također, postoji mogućnost da prikupljene informacije od jednog izvora ne izgledaju same po sebi sumnjive. Ponekad povezivanje više izvora informacija je najbolji način otkrivanja sigurnosnih incidenata.

7. 1. Priprema sustava za prepoznavanje incidenata Jedan od najvažnijih dijelova zaštite sigurnosti računalnih sustava jest priprema sustava za prepoznavanje sigurnosnih incidenata. Pripremu sustava provodimo radi djelotvornijeg i efikasnijeg rukovanja sigurnosnim incidentima te povratka u stanje sustava prije sigurnosnog incidenta. Dva osnovna aspekta pripreme sustava su uspostavljanje sigurnosnih politika i procedura te određivanje karakterističnih podataka sustava.

7. 1. 1. Uspostavljanje politike i procedura

Sigurnosna politika definira pravila kojima reguliramo načine po kojima upravljamo i štitimo resurse računalnih sustava s namjerom očuvanja sustava sigurnim. Jedna od prvih sugestija sigurnosne politike unutar prepoznavanja znakova sigurnosnih incidenata jest dokumentiranje važnih informacija o resursima sustava te prijetnji tim važnim resursima. Procedure pripreme za sigurnosne incidente uključuju akcije neophodne za osmatranje sustava s namjerom otkrivanja neočekivanog ponašanja, uključujući neovlaštene aktivnosti. Osmatranje može biti u formi nadgledanja, istraživanja i zapisivanja događaja. Pomoću procedura, svi koji su uključeni u zaštitu sustava u mogućnosti su utvrditi operacijske korake koje su obvezni poduzeti. Ti koraci znatno podižu razinu sigurnost resursa računalnih sustava. Sigurnosna politika i procedure koje su dokumentirane i opće poznate služe za obavještavanje korisnika o njihovim obavezama vezanim za zaštitu sigurnosti sustava. Pod korisnicima, u ovom slučaju, podrazumijevamo sve one koji pristupaju, administriraju i upravljaju sustavom. Njihova uloga u prepoznavanju znakova neovlaštenih aktivnosti na sustavu je vrlo važna.

7. 1. 2. Određivanje karakterističnih podataka sustava

Sakupljanje podataka generiranih od strane sustava, mreže, aplikacije ili korisničke aktivnosti esencijalno je važno za analizu sigurnosti resursa sustava i za otkrivanje znakova sumnjivog i neočekivanog ponašanja. Knjige praćenja događaja (log datoteke) sadrže informacije o prošloj aktivnosti. Potrebno je odrediti mehanizme snimke stanja sustava i tipove prikupljanja informacija (sustav, pristup podacima, procesi, određene aplikacije itd.) dostupne za svaki pojedini resurs, te određivanje podataka zapisanih svakim logom.

90


Pristupi detektiraju znakova sumnjivog i neočekivanog ponašanja obično se zasnivaju na prepoznavanju razlika između trenutnog stanja sustava i prethodno zabilježenog stanja. Različiti sustavi omogućuju različite načine lociranja informacija, tj. nekim sustavima nije moguće sakupljanje adekvatnih informacija unutar njihovog osnovnog stanja. Stoga, u pojedinim situacijama potrebno je korištenje dodatnih mehanizama za sakupljanje informacija, na primjer virusno pretraživanje, pregledavanje ranjivosti sustava itd. Log datoteke često su jedini zapisi sumnjivog ponašanja. Pogreške u konfiguraciji mehanizama za pohranu važnih informacija te njihovo korištenje za pokretanje mehanizama upozorenja, eliminira sposobnost otkrivanja pokušaja neovlaštenih aktivnosti.

7. 2. Integritet sustava za prepoznavanje neovlaštenih aktivnosti

Prigodom pretraživanja sustava za znakovima neovlaštenih aktivnosti ili pri istraživanju sustava općenito, potrebno je koristiti provjerene i referencirane programske pakete (sadrže provjerene kopije programa koje nisu mijenjane) i izraditi čisti boot (startanje sustava s poznate kopije operacijskog sustava). U dodatku za izvršne programe, potrebno je da provjereni programski paket sadržava sve ljuske operacijskog sustava, konfiguracijske i podatkovne datoteke, te alate sustava o kojima ovisi program. Preporučljivo je izbjegavati korištenje i pouzdavanje u programe koji pripadaju kompromitiranome sustavu, osim u slučaju mogućnosti provjere programa i podržavajućih biblioteka, konfiguracijskih i podatkovnih datoteka. Prepoznavanje neovlaštenih aktivnosti vrlo je ovisno o pouzdanosti sakupljenih informacija o stanju i ponašanju sustava. Prema tome, esencijalno je važno korištenje samo programa za kojeg pouzdano znamo da je ispravan i pouzdan u izvještavanju takvih informacija. Napadači često zamjenjuju programe koji sadrže sposobnost otkrivanja njihove prisutnosti sa zamjenskim kojim prikrivaju ili uklanjaju takve informacije. Napadači zamjenjuju programe, biblioteke i druge korisne programe potrebne za izvršavanje administratorskih alata. Ukoliko je program korišten za prepoznavanje neovlaštenih aktivnosti korumpiran ili zamijenjen s drugim, očito je da nije moguće pouzdati se u dobivene rezultate. Provjeravanje korištenja samo provjerenog programa može biti vrlo teško. Napadači su u mogućnosti napraviti promjene na sustavu tako da ponašanje sustava i dalje izgleda normalno i očekivano. Na primjer, napadač ukoliko zamijeni naredbu "ps" na UNIX sustavima onom koja ne prikazuje određeni, napadačev proces.

7. 3. Nadgledanje i kontrola aktivnosti Pod nadgledanjem i kontrolom aktivnosti podrazumijevamo upravljanje aktivnostima koje nisu očekivane, tj. nisu u skladu sa sigurnosnom politikom, s ciljem prepoznavanja i sprječavanja sigurnosnih incidenata. Općenito, aktivnosti možemo podijeliti na aktivnosti na sustavu, mreži, datotekama i direktorijima.

91


7. 3. 1. Nadgledanje i kontrola aktivnosti na sustavu

Aktivnosti na sustavu podrazumijevaju performanse sustava, procese i korisnike. Programi koji se izvode na mrežnim sustavima obično uključuju različite operacijske sustave i mrežne servise, korisničke programe i aplikacije posebne namijene. Svaki proces izvršava se s određenim privilegijima koje određuju kojim resursima sustava, programima i podatkovnim datotekama smiju pristupati te što smiju izvršiti. Ponašanje procesa pri izvršavanju predstavljeno je operacijama koje izvršavaju, načinu na koji se operacije izvršavaju te resursima sustava koje koriste pri izvršenju. Operacije uključuju računanje, transakcije s datotekama, uređaje i druge procese, te komunikaciju s procesima na udaljenim sustavima preko mreže. Korisničke aktivnosti uključuju prijavu i odjavu za rad, predstavljanje i druge identifikacijske transakcije, procese koje izvršavaju i datoteke kojima pristupaju. Vrlo je važna provjera da je ponašanje sustava očekivano i da su procesi koji se izvršavaju na sustavu dostupni samo za ovlaštene aktivnosti korisnika, administratora i funkcijama sustava. Neočekivane ili anomalijske performanse sustava mogu ukazati da napadač neovlašteno koristi sustav za ostvarenje vlastitih namjera. Postoji mogućnost pokušaja ugrožavanja drugih sustava unutar ili izvan mreže, ili da se na sustavu izvršava prisluškivač mrežnog prometa. Procesi koji pokazuju neočekivano ponašanje ponekad ukazuju na izvršavanje neovlaštene aktivnosti. Napadači su u mogućnosti prekinuti izvršavanje programa ili servisa te na taj način zaustaviti produkciju sustava. Na primjer, ukoliko napadač uspješno zaustavi izvršavanje procesa za kontrolu pristupa koji se izvršava na sustavu vatrozida, u mogućnosti su pristupi lokalnoj mreži na način koji bi u normalnoj situaciji bio blokiran. Razmatranja sigurnosne politike U sigurnosnu politiku računalnog sustava trebalo bi uključiti sljedeće:

• zahtijevanje obavještenja korisnika sustava o nadgledanju procesa i korisničke aktivnosti

• određivanje zaduženja i odgovornosti osoba zaduženih za izvršavanje nadgledanja i kontrole sustava, procesa i korisničke aktivnosti

• određivanje formi neočekivanog ponašanja koje je potrebno nadgledati, zahtijevanje od strane korisnika izvještavanje o neočekivanom ponašanju

• određivanje koji programe i podatke korisnici i administratori smiju instalirati i koristiti, te eksplicitne procedure i uvjete za to

• određivanje programa koje korisnici i administratori smiju izvršavati i pod kojim uvjetima.

7. 3. 2. Nadgledanje i kontrola mrežnih aktivnosti

Neočekivano mrežno ponašanje predstavljaju promjene u performansama mreže (varijacija količine prometa unutar određenog vremena), promet od i prema neočekivanoj lokaciji, konekcije uspostavljene u neobično vrijeme, česti neuspješni pokušaji uspostavljanja veze, neovlašteno pretraživanje i ispitivanje. Podatke o

92


mrežnoj aktivnosti (promet, performanse itd.) možemo sakupljati iz više izvora kao što su log datoteke (usmjerivači, vatrozidi itd.), statističkim izvještajima mrežnih performansi i administratorskih ispitivanja (ICMP ping, ispitivanje aktivnih portova itd.). Nadziranjem poruka koje prolaze mrežom moguće je prepoznavanje neovlaštenih aktivnosti za vrijeme izvršenja ili ubrzo nakon izvršenja. Otkrivajući sumnjive aktivnosti što je prije moguće i istovremenim započinjanjem istrage moguće je uspješno spriječiti ili smanjiti razinu kompromitiranja sigurnosti sustava. Log datoteke mrežnog prometa mogu sadržavati dokaze o neuobičajenim, sumnjivim ili neočekivanim aktivnostima, ukazujući da netko ugrožava ili pokušava ugroziti sigurnost sustava. Redovitim nadgledanjem log datoteka moguće je otkriti izviđanje i ispitivanje napadača koje prethodi napadu na sustav. Također, moguće je i otkrivanje pokušaja ili uspješnih neovlaštenih aktivnosti ubrzo nakon izvršenja. Razmatranja sigurnosne politike U sigurnosnu politiku računalnog sustava trebalo bi uključiti sljedeće:

• zahtijevanje obavještenja korisnika sustava o nadgledanju mrežnog prometa

• određivanje koji od podatkovnih nizova će biti promatrani i za koje potrebe

• određivanje zaduženja i odgovornosti osoba zaduženih za rukovanje obavijestima generiranim alatima za logiranje i nadgledanje

• određivanje formi neočekivanog ponašanja koje su korisnici obvezni nadgledati te zahtijevanje od strane korisnika izvještavanje o neočekivanom ponašanju.

7. 3. 3. Nadgledanje i kontrola datoteka i direktorija

Datotečni sustavi unutar mrežne okoline sadrže različite varijante programa i podatkovnih datoteka. Neočekivane promjene na direktorijima i datotekama, a posebno u situacijama kada je pristup zabranjen, mogu upozoriti na neovlaštene aktivnosti. Promjene uključuju modifikacije, kreiranje ili brisanje direktorija ili datoteka. Ono što čini neočekivanom promjenom ovisi o tome tko je promjenu izvršio, gdje, kada i na koji način. Napadači obično kreiraju, zamjenjuju, mijenjaju, oštećuju i uništavaju datoteke na sustavu, a prema kojima su ostvarili pristup. S namjerom skrivanja prisutnosti na sustavu, vrlo je često da napadači zamjenjuju programe sustava s zamjenskim koji izvršavaju iste funkcije, ali izostavljaju informacije koje bi mogle otkriti njihove zlonamjerne aktivnosti. Oni također često mijenjaju log datoteke sustava s namjerom uklanjanja tragova njihove aktivnosti. Skrivanjem svoje prisutnosti na kompromitiranome sustavu napadači produžuju vrijeme koje imaju za neovlašteno korištenje sustava. U mnogo slučajeva prisutnost napadača na sustavu otkrivena je tek nakon nekoliko mjeseci. Napadači su u mogućnosti i kreirati nove datoteke na sustavu. Na primjer, instalacijom backdoor programa ili alata koji služe za ostvarenje privilegiranog pristupa sustavu. Napadači se koriste slobodnim memorijskim prostorom za pohranu svojih alata i drugih rukotvorina. Privatne podatkovne datoteke i datoteke s kritičnim informacijama najčešće su mete napada. Informacije o organizaciji dostupne preko javnih mreža i Interneta također su česta meta napada.

93


Razmatranja sigurnosne politike U sigurnosnu politiku računalnog sustava trebalo bi uključiti sljedeće:

• zahtijevanje obavještenja korisnika sustava o nadgledanju neočekivanih aktivnosti nad datotekama i direktorijima

• određivanje zaduženja i odgovornosti osoba zaduženih za nadgledanje neočekivanih aktivnosti nad datotekama i direktorijima

• zahtijevanje od strane korisnika izvještavanje o neočekivanim promjenama datoteka i direktorija.

7. 4. Fizičke forme neovlaštenih aktivnosti Pod fizičkom formom neovlaštenih aktivnosti podrazumijevamo neovlaštene aktivnosti kod kojih su dijelovi računalnog sustava izloženi fizičkom kompromitiranju u obliku krađe, uništenja, korupcije ili neovlaštenog korištenja. Općenito, postoje dva aspekta prepoznavanja fizičkih neovlaštenih aktivnosti, istraživanje neovlaštenog sklopovlja priključenog na sustav i nadgledanje fizičkih resursa zbog znakova neovlaštenog pristupa.

7. 4. 1. Istraživanje neovlaštenog sklopovlja priključenog na sustav

Neovlašteno sklopovlje uključuje računala priključena na mrežni segment ili hub, perifernu komunikaciju ili ulazno/izlaznu opremu kao što su modemi, terminali, pisači, diskovi ili trake. Napadači aktivno pokušavaju zaobići sigurnosnu obranu sustava. Ukoliko su u mogućnosti ostvariti fizički pristup lokalnoj mreži, u mogućnosti su instalirati vlastitu opremu i programe. Alternativno, napadači su u mogućnosti iskoristiti nesigurnu, nelegitimnu opremu dodanu od strane legitimnih korisnika sustava za ostvarenje pristupa sustavu. Na primjer, legitimni korisnik instalira modem s namjerom udaljenog pristupa računalu u uredu. Napadači koriste automatizirane alate za prepoznavanje modema priključenih na javne telefonske linije. Ukoliko konfiguracija modemskog pristupa i prometa kroz njega nije osigurana, napadač je u mogućnosti koristiti modem kao backdoor za ostvarenje pristupa lokalnoj mreži, zaobilazeći mehanizme prevencije postavljene za restrikciju vanjskih konekcija na lokalnu mrežu. Pristup drugoj perifernoj opremi također olakšava neovlašteni upad u sustav. Neosigurane izlazne i izmjenjive uređaje, kao što su pisači i diskovi, napadači su u mogućnosti iskoristiti za generiranje kopija, uništenje ili krađu povjerljivih informacija. Razmatranja sigurnosne politike U sigurnosnu politiku računalnog sustava trebalo bi uključiti sljedeće:

• zahtijevanje podržavanja dokumentacije o sklopovskom inventaru

• zahtijevanje podržavanja dokumentacije o mrežnoj topologiji

• određivanje zaduženja i odgovornosti osoba zaduženih za izvršavanje fizičke revizije instaliranog sklopovlja i programske podrške, te evidentiranja uspostavljenih mrežnih konekcija

94


• određivanje što je od sklopovlja i programske podrške dozvoljeno korisnicima da instaliraju na svojim stolnim računalima.

7. 4. 2. Nadgledanje fizičkih resursa zbog znakova neovlaštenog pristupa

Premda smo skloni razmišljanju da su informacije u mrežnim računalnim sustavima su u elektroničkoj formi, potrebno je zapamtiti da informacije pohranjujemo na fizičkim medijima (trake, diskovi, CD ROM itd.), koji su izloženi fizičkom kompromitiranju u obliku krađe, uništenja, korupcije ili neovlaštenog dupliciranja. Da bi osigurali sustav, nužno je i fizičko osiguranje komponenti periodičkim nadgledanjem iz razloga mogućeg fizičkog kompromitiranja. Ukoliko je dokument ili medij za elektroničku pohranu podataka ukraden, povjerljivost i raspoloživost sadržanih informacija na mediju je izgubljena. Ukoliko je i moguće izvršiti oporavak informacija, nismo u mogućnosti znati mjeru do koje je sadržaj kopiran ili razglašen. Također, nismo u mogućnosti znati jesu li sadržane informacije korumpirane ili promijenjene. Ukoliko su kompromitirane informacije kritične za sigurnost sustava (korisničke zaporke, lokalne mrežne adrese, konfiguracijski podaci sustava), cijeli sustav potencijalno je pod prijetnjom daljnjeg ugrožavanja sigurnosti. Stoga, vrlo je važno promptno detektiranje pokušaja fizičkih neovlaštenih aktivnosti i pristupa. U mnogim organizacijama određene osobe su odgovorne za fizičku sigurnost sustava. Također, administratori sustava i mreže često su u situacijama da prepoznaju znakove neovlaštenog fizičkog pristupa resursima sustava. Razmatranja sigurnosne politike U sigurnosnu politiku računalnog sustava trebalo bi uključiti sljedeće:

• zahtijevanje označavanja i inventariranja svih fizičkih računalnih resursa

• određivanje procedure u slučaju prepoznavanja fizičke neovlaštene aktivnosti.

7. 5. Praćenje događanja Većina znakova asocirana sigurnosnim incidentima, jednostavne su anomalije kao što su sklopovski propusti ili sumnjiva ponašanja sustava ili korisnika. Praćenje informacija kojim su opisani događaji vrlo je korisno za prepoznavanje sigurnosnih incidenata te za pravovremeno poduzimanje odgovarajućih akcija. U nastavku obrađena su dva dodatna važna aspekta sigurnosti sustava, pregledavanje izvještaja korisnika i vanjskih kontakta te poduzimanje odgovarajućih akcija.

7. 5. 1. Pregledavanje izvještaja korisnika i vanjskih kontakta

Ukoliko su procedure sigurnosno svjesno kreirane, korisnici sustava prijavljuju sumnjive događaje i ponašanje. Administratori sustava i mreže trebali bi koristiti te izvještaje pored informacija koje sami sakupljaju s ciljem lakšeg prepoznavanja mogućih neovlaštenih aktivnosti. Također, potrebno je i korištenje informacija

95


vanjskih izvora, na primjer izvještaji timova za sigurnosne incidente, kao pomoći u odlučivanju je li potrebno povećati nadgledanje i analiziranje incidenta. Pomoć izvještavanja od strane korisnika i vanjskih kontakta povećava sposobnost prepoznavanja neovlaštenih aktivnosti te potencijalno omogućuje prepoznavanje incidenata o kojima nismo upoznati. Razlog tome je što su korisnici sustava često svjesniji očekivanog, normalnog ponašanja na njihovoj osobnoj računalnoj okolini od samih administratora sustava. Mnogo sigurnosnih incidenata otkriveno je tek nakon što je netko sa svakodnevnim iskustvom korištenja određenog sustava primijetio nešto neobično. Korisnici su podložni na napade koji koriste tehniku socijal inženjeringa te je potrebno da prepoznaju takve situacije. Napadači obično kompromitiraju više sustava pri izvršavanju napada na meti. Na svakom pojedinom kompromitiranom sustavu vjerojatno postoje prepoznatljivi znakovi neovlaštenih aktivnosti koje korisnici otkrivaju. U ovim situacijama jedan izvještaj obično nije dovoljan dokaz sigurnosnog incidenta, ali analiza nekoliko izvještaja otkriva model prema kojem je napad izvršen. Združivanjem korisničkih izvještaja o sumnjivom ponašanju na sustavu, moguće je odrediti i širinu sigurnosnog incidenta. Ukoliko administratori iz jedne organizacije otkriju da je sigurnosni incident u njihovoj organizaciji povezan s drugom organizacijom, također mogu kontaktirati tu organizaciju te im pomoći u prepoznavanju sigurnosnih incidenata. Preporučljivo je pažljivo proučiti svaki pojedini izvještaj primljen od strane timova za sigurnosne incidente s ciljem prepoznavanja eventualnih neovlaštenih aktivnosti na sustavu. Ukoliko mrežna okolina podržava konekciju na vanjske mreže, moguće je da je sustav kompromitiran na način da služi kao nesvjestan sudionik u velikom napadu (distriburani napadi na raspoloživost resursa) protiv određene ili više domena. Razmatranja sigurnosne politike U sigurnosnu politiku računalnog sustava trebalo bi uključiti sljedeće:

• zahtijevanje izvješćivanja o neočekivanom i sumnjivom ponašanju na sustavu od strane korisnika

• zahtijevanje izvješćivanja o fizičkim neovlaštenim aktivnostima na sustavu od strane korisnika

• zahtijevanje od administratora sustava pažljivo istraživanje svakog pojedinog izvještaja sumnjive aktivnosti

• zahtijevanje od administratora sustava obavještavanje korisnika sustava o svakoj predviđenoj promjeni na sustavu, uključujući konfiguraciju programske podrške, pohrane i pristupa podacima, revizije procedura itd.

7. 5. 2. Poduzimanje odgovarajućih akcija

Nakon zapisivanja i istraživanja neočekivanih aktivnosti te utvrđenja neovlaštene aktivnost, potrebno je pokrenuti akcije prema kreiranim procedurama za odgovor na sigurnosne incidente. Ukoliko se nakon utvrđivanja sigurnosnog incidenta ne poduzmu odgovarajući koraci, prouzročene negativne posljedice napada ostaju trajne. Negativne posljedice uključuju gubitak integriteta, raspoloživosti i povjerljivosti resursa sustava. Također, nepoduzimanje aktivnosti znatno povećava sigurnosni rizik sustava u budućnosti.

96


Razmatranja sigurnosne politike U sigurnosnu politiku računalnog sustava trebalo bi uključiti sljedeće:

• određivanje akcija koje je potrebno poduzeti nakon utvrđivanja neočekivane, neobične i sumnjive aktivnosti

• zahtijevanje izvršavanja propisanih akcija

• određivanje zaduženja i odgovornosti osoba zaduženih za izvršavanje propisanih akcija.

97

Zaključak

8. Zaključak Cilj je ovog rada rješavanje problema vezanih za prevenciju i otklanjanje sigurnosnih rizika računalnih sustava. U radu su dane smjernice za prepoznavanje i upravljanje sigurnosnim rizicima te je time ponuđen naputak za poboljšanje i unapređenje razine sigurnosti računalnih sustava. Sigurnost računalnih sustava nalaže da računalni sustav ispunjava svoju ulogu prema očekivanjima. U radu je prikazano koje je resurse računalnih sustava potrebno zaštiti te koje je karakteristike tih resursa potrebno očuvati. Kategorizirani su i opisani uzroci sigurnosnih rizika te objašnjena važnost analize sigurnosnih rizika. Razrađena je i predstavljena terminologija sigurnosnih incidenata računalnih sustava koja omogućava sakupljanje, uspoređivanje i razmjenu informacija vezanih za sigurnost računalnih sustava. Opisane su najuspješnije tehnike računalnih napada te objašnjeni osnovni principi njihova izvršenja. Poznavanje tehnika računalnih napada važno je za uspješnu analizu sigurnosnih rizika računalnih sustava te upravljanje njima. Predstavljen je mogući model klasifikacije sigurnosnih rizika računalnih sustava temeljen na terminologiji sigurnosnih incidenata. Svrha modela jest razdjeljivanje i uređenje termina vezanih za sigurnosne rizike računalnih sustava te definiranja njihovih međusobnih odnosa. Model klasifikacije namijenjen je prepoznavanju potencijalnih sigurnosnih rizika nekog računalnog sustava. Prikazane su sigurnosne mjere i mehanizmi za upravljanje sigurnosnim rizicima računalnih sustava te je predstavljen plan procesa za prepoznavanje znakova eksploatacije sigurnosnog rizika.

98

Sažetak

Sažetak

Sigurnost je najkritičnije područje računalne tehnologije te počinje zauzimati izuzetno važnu poziciju u današnjem okružju računalnih sustava. Ovim radom dane su smjernice za rješavanje problema prevencije i otklanjanja sigurnosnih rizika računalnih sustava. Dana je definicija pojmova sigurnosti računalnih sustava i sigurnosnih rizika, kategorizirani su i opisani uzroci sigurnosnih rizika te je objašnjena važnost analize sigurnosnih rizika. Razrađena je terminologija sigurnosnih incidenata računalnih sustava koja je nužan preduvjet za sustavno proučavanje i razumijevanje materije ovog područja. Predstavljene su najčešće uspješno korištene tehnike računalnih napada te su opisani osnovni principi njihova izvršenja. Koristeći se utvrđenom terminologijom, predstavljen je primjer mogućeg modela klasifikacije sigurnosnih rizika namijenjenog za uspješno prepoznavanje i analizu sigurnosnih rizika računalnih sustava. Prikazane su sigurnosne mjere i mehanizmi za upravljanje rizicima te je predstavljen plan procesa za prepoznavanje znakova eksploatacije sigurnosnog rizika. Ovim radom ponuđen je naputak za poboljšanje i unaprjeđenje razine sigurnosti računalnih sustava.

Ključne riječi: klasifikacija, računalni napad, resursi računalnog sustava, sigurnosni incident, sigurnosni rizik, sigurnost računalnih sustava, tehnika računalnog napada, terminologija

99

Summary

Summary

Identification and Classification of Computer Systems' Security Risks

Security is the most critical area of computer technology and it assumes great importance in today’s computer systems environment. This thesis provides guidelines for preventing and reducing computer systems security risks. Definitions of terms ‘computer systems security’ and ‘security risks’ are given. Security threats are categorized and described, and the importance of security risks analysis is explained. Security incidents terminology, an essential precondition for the systematic research of computer systems security, is developed. The most successful techniques of computer attacks are presented, and the basic principles of their application are described. Using the established terminology, a model of security risks classification is offered, with the purpose of successful identification and analysis of computer systems risks. Security measures and mechanisms for managing risks are set forth, as well as the procedure for recognizing the signs of security risks exploitation. The thesis, in entirety, contains guidelines for designing a more secure computer system.

Key words: classification, computer attack, resource of computer systems, security incident, security risk, security of the computer systems, techniques of computer attacks, terminology

100

Popis literature

Popis literature [1] British Standards Institution, BS 7799, Information Security Management,

1999. [2] J. Crume, Inside Internet Security, 2000., Addison – Wesly [3] Microsoft Solution Framework, Security Threats, 2001.,

http://www.microsoft.com/security [4] B. P Miller, D. Koski, C. Pheow Lee, V. Maganty, R. Murthy, A. Natarajan, J.

Steidl. Fuzz Revisited: A Re-examination of the Reliability of UNIX Utilities and Services. Computer Sciences Department, University of Wisconsin, 1995.

[5] IEEE Standard Glossary of Software Engineering Terminology , IEEE-STD-610.12, 1990, http://standards.ieee.org

[6] M. Baker i K. Mallukjaer, Terminology, Theory (H. C. Sager) iz Routledge Encyclopedia of Translation Studies, 1998., Routledge

[7] J. Howard i T. A. Longsteff, A Common Language for Computer Security Incidents, 1998., http://www.cert.org

[8] J. D. Howard, An Analysis Of Security Incidents On The Internet, 1997., http://www.cert.org

[9] D. Mell, Computer Attacks: What They Are and How to Defend Against Them, 1999., http://www.itl.nist.gov

[10] SANS Institue Resourses, The Twenty Most Critical Internet Security Vulnerabilities, 2001., http://www.sans.org

[11] T. Escamille, Intrusion Detection, 1998., Wiley [12] L. J. Freeh, Cybercrime, 2000., http://www.fbi.gov/congress [13] CARNet CERT, 20 najčešćih računalno sigurnsnih problema, 2002.,

http://www.cer.hr/top20 [14] P. Oldfield, Computer viruses demystified, 2001., Sophos Plc [15] CERT, Frequently asked questions about malicious web scripts redirected by

web sites, 2000., http://www.cert.org [16] CERT, Understanding mailcious content mitigation for web developers, 2000.,

http://www.cert.org [17] Content Technologies, WEBsweeper 4.01 Administrator's Guide, 2002.,

http://www.mimesweeper.com [18] Uppsala University, Denail of Service Attack, http://www.student.uu.se [19] P. J. Criscuolo, Distributed Denial of Service, 2000., http://www.ciac.org [20] R. Graham, Sniffing FAQ, 2000., http://www.robertgraham.com [21] L0phtCrack, http://www.l0pht.com/l0phcrack [22] S. M. Bellovin, Security Problems in the TCP/IP Protocol Suite,

http://www.ulysses.att.com [23] Phrack Magazine, IP Spoofing, 1996., http://www.infonexus.com

101

Popis literature

[24] L. Joncheray, Simple Active Attack Against TCP, http://www.merit.edu [25] B. Claerhout, A Short Overview of IP Spoofing, 1996., http://reptile.rug.ac.be [26] S. Higgins, The Art of Advanced Social Engineering, 2001.,

http://www.sans.org [27] R. Tims, Social Engineering: Policies and Education a Must, 2001.,

http://www.sans.org [28] M. J. Carr, Taxonomy Based Risk Identification, 1996., http://www.rai.com [29] E. Knight, Computer Vulnerabilities, 2000., http://www.securityparadigm.com [30] B. Fraser, Site Security Handbook, 1997., RFC 2196 [31] M. Strabe, C. Parkins i G. Moncur, NT4 Network Security, 1999., Sybex [32] J. G. Jumes, MS Windows NT Security, Audit and Control, 1999., Microsoft

Press [33] T. Sheldon, Windows NT Security Handbook, 1997., McGraw - Hill [34] CERT, Manage logging and other data collection mechanisms,

http://www.cert.org [35] CERT, Intruder Detection Checklist, http://www.cert,org [36] C. Russel i S. Crawford, MS Windows 2000 Server Administrator's Companion,

2000., Microsoft Press [37] Microsoft TechNet, Backing Up and Restoring Network Files, 2001., Technical

Information [38] E. D. Zwicky, S. Cooper i D. B. Chapman, Building Internet Firewalls, 2000.,

O'Reilly [39] Sophos, Sophos Reference Guide 1999/2000, 1999., Sophos Plc. [40] J.P Anderson, Computer Security Threat Monitoring and Surveillance, 1980.,

Technical report, James P Anderson Co., Fort Washington, Pennsylvania [41] E. H Spafford, Security Seminar, Department of Computer Sciences,1996.,

Purdue University [42] S. Kumar, Classification and Detection of Computer Intrusions, 1995., Ph.D.

Dissertation [43] CERT, Detecting Signs of Intrusion, http://www.cert.org

102

Životopis

Životopis Rođen sam 21. kolovoza 1975. godine u Splitu. Osnovnu školu te prirodoslovno-matematičku gimnaziju završio sam u Splitu. Fakultet elektrotehnike i računarstva upisao sam akademske godine 1994./1995. Diplomirao sam na usmjerenju Industrijska elektronika u lipnju 1999. godine. Tema diplomskog rada bila je "Korisničko sučelje za radiološki PACS sustav", a mentor doc. dr. sc. Sven Lončarić. Od rujna 1999. godine zaposlen sam u Privrednoj banci Zagreb d.d., u Sektoru za informatičku tehnologiju na mjestu sistem inženjera zaduženog za sigurnost. Važniji projekti na kojima sam sudjelovao jesu izgradnja intranet sustava Privredne banke Zagreb d.d. baziran na Microsoft NT tehnologiji, implementacija IDS (Intrusion Detection System) sustava itd. Projektirao sam i implementirao sustav antivirusne zaštite intraneta PBZ-a. Voditelj sam projekta "Antivirusna zaštita i nadzor prometa PBZ – Internet". U prosincu 2000. godine s Bojanom Ždrnjom izložio sam rad "Detekcija neovlaštenih upada" na savjetovanju "KOM 2000" u Opatiji. Boris Sviličić

103

Documents

Boris Sviličić - PREPOZNVANJE I KLASIFIKACIJA SIGURNOSNIH RIZIKA RAČUNALNIH SUSTAVA