Sigurnost ra čunalnih mre žamarjan.fesb.hr/~pravdica/srm/srm_pogl3_1_bez_pozadine.pdf · vidi...

1

Sigurnost raSigurnost raččunalnih mreunalnih mrežžaa

Lada SartoriLada Sartori

3.3. Sigurnost operacijskih sustava i Sigurnost operacijskih sustava i aplikacija aplikacija

�� SadrSadržžajaj1.1. Sigurnost Windows operacijskog sustavaSigurnost Windows operacijskog sustava

2.2. Sigurnost Sigurnost UnixUnix//LinuxLinux operacijskih sustavaoperacijskih sustava

3.3. Web sigurnostWeb sigurnost

4.4. Sigurnost sustava elektroniSigurnost sustava elektroniččke poke poššte te

5.5. Sigurnost DNS sustava Sigurnost DNS sustava

2

3.3.1. Sigurnost Windows operacijskog 1. Sigurnost Windows operacijskog sustava sustava

�� SadrSadržžajaj1.1. OjaOjaččavanje "avanje "outout--ofof--boxbox" sustava" sustava2.2. Instalacija aplikacijaInstalacija aplikacija3.3. Postavljanje radne stanice na mrePostavljanje radne stanice na mrežžuu4.4. Sigurno koriSigurno korišštenje Windows radne stanicetenje Windows radne stanice5.5. Nadogradnje i zakrpeNadogradnje i zakrpe6.6. OdrOdržžavanje i testiranje sigurnostiavanje i testiranje sigurnosti7.7. Napadi na Windows radne staniceNapadi na Windows radne stanice8.8. ZakljuZaključčakak

3.3.1. Sigurnost Windows operacijskog 1. Sigurnost Windows operacijskog sustavasustava

�� sigurnost rasigurnost raččunala s instaliranim Windows unala s instaliranim Windows operacijskim sustavom operacijskim sustavom ččini veoma vaini veoma važžnu nu komponentu u sveukupnoj sigurnosti mrekomponentu u sveukupnoj sigurnosti mrežže i e i sustavasustava

�� u u tzvtzv. . ““ dubinskog obranidubinskog obrani”” sustava radne sustava radne stanice stanice ččine vaine važžnu karikunu kariku

3


�� ““ dubinska obranadubinska obrana”” je opje općća metodologija a metodologija ččiji je iji je cilj usporiti i onemogucilj usporiti i onemoguććiti napadaiti napadačča a korikorišštenjem slojevite zatenjem slojevite zašštitetite

�� ne ovisi o samo jednoj tone ovisi o samo jednoj toččki na kojoj se ki na kojoj se implementira sigurnostimplementira sigurnost

�� daje administratoru vremena da otkrije napad i daje administratoru vremena da otkrije napad i da reagira na njegada reagira na njega


�� ““ dubinska obranadubinska obrana””

UPRAVLJANJEKORISNICIMA

OJAČAVANJERAČUNALA

ODVAJANJEVLAN-OVA

ODVAJANJEPOSLUŽITELJA

ODVAJANJEWAN-A

ODVAJANJEKLIJENATA

PERIMETARINTERNETA

4


�� upravljanje korisnicimaupravljanje korisnicima�� prapraććenje i obuka korisnika je preduvjet za uspjeenje i obuka korisnika je preduvjet za uspješšno no

provođenje ostalih nivoa sigurnostiprovođenje ostalih nivoa sigurnosti

�� ojaojaččavanje raavanje raččunalaunala�� osnovne instalacije operacijskih sustava su prve toosnovne instalacije operacijskih sustava su prve toččke ke

napadanapada�� uvijek su na ljestvici uvijek su na ljestvici ““ Top 10Top 10””

�� odvajanje VLANodvajanje VLAN --ovaova�� ““ vjeruj, ali odvojivjeruj, ali odvoji””�� nprnpr. nitko osim djelatnika ra. nitko osim djelatnika raččunovodstva ne smije imati unovodstva ne smije imati

pristup rapristup raččunalima za obradu plaunalima za obradu plaććaa


�� odvajanje posluodvajanje poslužžiteljaitelja�� posluposlužžitelji moraju biti u prostoru poveitelji moraju biti u prostoru poveććane sigurnostiane sigurnosti

�� WAN odvajanjeWAN odvajanje�� uspostaviti pristupne liste tko smije pristupati uspostaviti pristupne liste tko smije pristupati

posluposlužžiteljimaiteljima

�� odvajanje korisnikaodvajanje korisnika�� pretpostaviti da su svaki korisnik i svako rapretpostaviti da su svaki korisnik i svako raččunalo izvan unalo izvan

organizacije nesigurniorganizacije nesigurni

�� Internet Internet perimetarperimetar�� Internet ugroInternet ugrožžava, ali najveava, ali najvećći broj napada dolazi iznutrai broj napada dolazi iznutra

5


�� veveććina napadaina napadačča:a:�� ide linijom manjeg otporaide linijom manjeg otpora

�� vidi ranjivost i istravidi ranjivost i istražžujeuje

�� najnajččeeššćće nastavlja dok ne naiđe na otpore nastavlja dok ne naiđe na otpor

�� ukoliko je otpor slab, dobije poticaj za nastavakukoliko je otpor slab, dobije poticaj za nastavak

�� ““ dubinska sigurnostdubinska sigurnost””�� smanjuje broj uspjesmanjuje broj uspješšnih napadanih napada

�� napadanapadačč mora biti puno vjemora biti puno vješštijitiji•• eliminacija eliminacija ““ scriptscriptkiddieskiddies”” –– napadanapadačča koji samo znaju pokretati a koji samo znaju pokretati

skripte, ali ne i izraditi noveskripte, ali ne i izraditi nove


�� raraččunala s Windows operacijskim sustavom unala s Windows operacijskim sustavom predstavljaju vepredstavljaju veććinu korisnikainu korisnika

�� Windowsi pruWindowsi pružžaju korisniku ono aju korisniku ono ššto mu trebato mu treba�� lako se instalirajulako se instaliraju

�� novije verzije ne zahtijevaju gotovo nikakvo novije verzije ne zahtijevaju gotovo nikakvo tehnitehniččko znanje korisnikako znanje korisnika

�� negativna strana:negativna strana:�� proizvodi proizvodi ““ skinuti s policeskinuti s police”” sadrsadržže i usluge ili e i usluge ili

aplikacije koje korisniku ne trebajuaplikacije koje korisniku ne trebaju

6


�� napadanapadačči uzmu istu instalaciju i pokui uzmu istu instalaciju i pokuššavaju avaju nanaćći ranjivosti ranjivost

�� ukoliko uspiju imaju milijune potencijalnih ukoliko uspiju imaju milijune potencijalnih žžrtvirtvi

�� oslanjaju se na oslanjaju se na ččinjenicu da injenicu da ćće korisnici e korisnici ostaviti svoje Windows raostaviti svoje Windows raččunalo s kupljenom unalo s kupljenom instalacijom, koja ukljuinstalacijom, koja uključčuje sve dodatkeuje sve dodatke


�� radna stanica spojena na Internet predstavlja toradna stanica spojena na Internet predstavlja toččku ku ulaskaulaska

�� razlozi za brigu:razlozi za brigu:�� podaci s kreditnih kartica mogu se ukrastipodaci s kreditnih kartica mogu se ukrasti�� osobni podaci mogu se ukrastiosobni podaci mogu se ukrasti�� privatna elektroniprivatna elektroniččka poka poššta se mota se možže e ččitatiitati�� pornografski sadrpornografski sadržžaj moaj možže se ubaciti na rae se ubaciti na raččunalo kod kuunalo kod kućće e

ili na posluili na poslu�� virusi i crvi mogu ugroziti poslovanjevirusi i crvi mogu ugroziti poslovanje�� Windows raWindows raččunalo se mounalo se možže iskoristiti za daljnje napade, e iskoristiti za daljnje napade, ččineinećći vlasnika odgovornimi vlasnika odgovornim

7


�� preporuke Microsoftapreporuke Microsofta::�� koristiti koristiti vatrozidvatrozid

�� redovito preuzimati i instalirati zakrperedovito preuzimati i instalirati zakrpe

�� koristiti akoristiti ažžuriran antivirusni sustavuriran antivirusni sustav

�� nikad ne koristiti instalaciju nikad ne koristiti instalaciju ““ outout--ofof--boxbox””•• uvijek iskljuuvijek isključčiti sve iti sve ššto nije potrebnoto nije potrebno

�� nikad ne staviti ranikad ne staviti raččunalo koje je bilo na nesigurnoj unalo koje je bilo na nesigurnoj mremrežži unutar sigurne mrei unutar sigurne mrežže bez prethodne ponovne e bez prethodne ponovne instalacijeinstalacije


�� iskljuisključčiti sve nepotrebne servise i prikljuiti sve nepotrebne servise i priključčne tone toččkeke�� ne pokretati servise (FTP, mail, webne pokretati servise (FTP, mail, web……) na radnim ) na radnim

stanicama ukoliko posao to izristanicama ukoliko posao to izriččito ne zahtijevaito ne zahtijeva�� ne koristiti servise koji se ne koriste sigurnim protokolima ne koristiti servise koji se ne koriste sigurnim protokolima

((telnettelnet–– sshssh, , ftpftp –– sftpsftp……))�� koristiti koristiti ččvrste lozinkevrste lozinke�� ne pokretati programe za koje niste sigurni ne pokretati programe za koje niste sigurni ššto suto su�� ne otvarati elektronine otvarati elektroniččke poruke od nepoznatih (pogotovo ke poruke od nepoznatih (pogotovo

priloge)priloge)�� pratiti performanse sustava, ukolipratiti performanse sustava, ukoliko izađu iz prosjeka ko izađu iz prosjeka --

istraistražžitiiti

8

3.3.1.1. Oja1.1. Ojaččavanje avanje ““ outout--ofof--boxbox”” sustavasustava

�� ““ outout--ofof--boxbox”” instalacija je prvi cilj napadainstalacija je prvi cilj napada�� momožže biti kompromitirana u nekoliko minuta ili e biti kompromitirana u nekoliko minuta ili ččak ak

sekundi nakon stavljanja na mresekundi nakon stavljanja na mrežžuu�� ukoliko se radi reinstalacija poukoliko se radi reinstalacija požželjno je:eljno je:

�� napraviti kopije podatakanapraviti kopije podataka�� tip video karticetip video kartice�� tip mretip mrežžne kartice i TCP/IP postavkene kartice i TCP/IP postavke�� kod bekod bežžiiččne mrene mrežže SSID i enkripcijske kljue SSID i enkripcijske ključčeveeve�� postavke postavke šštampatampaččaa�� ostaloostalo……


�� generalni postupak ojageneralni postupak ojaččavanja sustava:avanja sustava:�� ustanoviti svrhu radne staniceustanoviti svrhu radne stanice

•• tko je koristitko je koristi

•• u koju svrhuu koju svrhu

•• gdje gdje ćće stanica biti postavljenae stanica biti postavljena

�� instalirati instalirati ččistu verziju operacijskog sustavaistu verziju operacijskog sustava•• dokumentirati promjene i napraviti sliku sustavadokumentirati promjene i napraviti sliku sustava

�� ukloniti sve nepotrebne serviseukloniti sve nepotrebne servise•• ponovo dokumentirati promjene i napraviti sliku sustavaponovo dokumentirati promjene i napraviti sliku sustava

9


�� naredbe kojima se monaredbe kojima se možže provjeriti stanje e provjeriti stanje sustava:sustava:�� netstatnetstat ––anan

•• provjera uspostavljenih vezaprovjera uspostavljenih veza

�� netnet shareshare

•• prikaz dijeljenih resursaprikaz dijeljenih resursa

�� netnet startstart

•• pokrenute aplikacije i uslugepokrenute aplikacije i usluge


�� tipitipiččno otvorene prikljuno otvorene priključčne tone toččke na ke na ““ outout--ofof--boxbox””instalaciji Windows 2003 operacijskog sustava instalaciji Windows 2003 operacijskog sustava ((nmapnmapili ili nessusnessus):):

LSALSA--ofof--ntermnterm1026/1026/tcptcp

NFSNFS--oror--IISIIS1025/1025/tcptcp

microsoftmicrosoft--dsds445/445/tcptcp

netbiosnetbios--ssnssn139/139/tcptcp

netbiosnetbios--nsns137/137/udpudp

locloc--srvsrv135/135/tcptcp

uslugauslugaprikljupriključčna tona toččkaka

10


�� portport 135/135/tcptcp –– locallocal--srvsrv//epmapepmap�� Microsoft DCE Microsoft DCE LocatorLocatorservis servis –– endend--pointpoint mappermapper

�� udaljeno upravljanje uslugamaudaljeno upravljanje uslugama

�� usluge koje se koriste prikljuusluge koje se koriste priključčnom tonom toččkom 135 kom 135 endend--pointpoint mapperamappera::•• DHCPDHCP

•• DNSDNS

•• WINSWINS

�� momožže se iskoristiti za napad (primjer: e se iskoristiti za napad (primjer: MSBlastMSBlastcrv)crv)


�� portport 137/137/tcptcp –– NetBIOS NetBIOS sessionsession(TCP)(TCP)�� Windows File and Windows File and PrintPrint SharingSharing

�� Server Server MessageMessageBlockBlock (SMB) poslu(SMB) poslužžitelj koristi itelj koristi ovu prikljuovu priključčnu tonu toččkuku

�� najopasnija prikljunajopasnija priključčna tona toččkaka

�� 10% svih korisnika na Internetu ostavljaju svoje 10% svih korisnika na Internetu ostavljaju svoje diskove otvorene ovoj prikljudiskove otvorene ovoj priključčnoj tonoj toččkiki

�� napadanapadačči prvo pokui prvo pokuššavaju pristupiti ovoj toavaju pristupiti ovoj toččkiki

11


�� portport 139/139/udpudp–– NetBIOS NetBIOS sessionsession(UDP)(UDP)�� verzija NetBT verzija NetBT namenameservisaservisa�� napadanapadačč momožže poslati poseban paket ovoj usluzi, a e poslati poseban paket ovoj usluzi, a

odgovor odgovor ćće sadre sadržžavati sluavati sluččajno odabrane podatke ajno odabrane podatke iz memorije napadnutog raiz memorije napadnutog raččunalaunala

�� podaci mogu biti s web stranice koju korisnik podaci mogu biti s web stranice koju korisnik trenutno gleda ili netrenutno gleda ili neššto vato važžnije: nije: nprnpr. lozinka za . lozinka za pristup popristup pošštiti

�� napadanapadačč momožže kontinuirano slati pakete i dobivati e kontinuirano slati pakete i dobivati podatke iz memorijepodatke iz memorije


�� portport 445/445/udpudp–– NetBIOS NetBIOS sessionsession(UDP)(UDP)�� Microsoft je napravio novi prijenos za SMB preko Microsoft je napravio novi prijenos za SMB preko

TCP i UDP na prikljuTCP i UDP na priključčnoj tonoj toččki 445ki 445

�� zamjenjuje stare implementacije na prikljuzamjenjuje stare implementacije na priključčnim nim totoččkama 137, 138 i 139kama 137, 138 i 139

�� CommonCommonInternet File Internet File SystemSystem(CIFS) koristi ovu (CIFS) koristi ovu totoččkuku

�� postojala je mogupostojala je moguććnost nost logiranjalogiranjakorikorišštenjem tenjem NULL sesije NULL sesije –– gost pristupgost pristup

12


�� portport 10251025�� prva dinamiprva dinamiččki ki dodjeljivadodjeljivaprikljupriključčna tona toččkaka�� bilo koja program mobilo koja program možže zatrae zatražžiti ovu prikljuiti ovu priključčnu nu

totoččkuku�� u primjeru: DCE uslugau primjeru: DCE usluga

�� portport 10261026�� dinamidinamiččka pristupna toka pristupna toččkaka�� primjer: ili primjer: ili LocalLocal SecuritySecurityAuthorityAuthority (LSA) (LSA)

posluposlužžitelj ili itelj ili ntermntermaplikacija je koristiaplikacija je koristi


�� ššto poduzeti za ojato poduzeti za ojaččati radnu stanicu:ati radnu stanicu:�� uz NFS ukljuuz NFS uključčiti i ugrađeni iti i ugrađeni EncriptingEncriptingFile File SystemSystem

(EFS)(EFS)�� onemoguonemoguććiti uporabu iti uporabu NetBIOSaNetBIOSapreko TCP/IPpreko TCP/IP�� ukoliko radna stanica ima dosta memorije iskljuukoliko radna stanica ima dosta memorije isključčiti iti

Windows Windows swapfileswapfile•• osjetljivi podaci se neosjetljivi podaci se nećće biljee bilježžiti na diskiti na disk

�� postaviti prava pristupa na pojedine pretincepostaviti prava pristupa na pojedine pretince�� postaviti maksimalni broj korisnika koji mogu postaviti maksimalni broj korisnika koji mogu

pristupati pristupati pretinicimapretinicima

13


�� ukoliko postoji moguukoliko postoji moguććnost enkripcije sadrnost enkripcije sadržžaja aja pretinca, ukljupretinca, uključčiti je (iti je (nprnpr. kod XP Professional . kod XP Professional verzije)verzije)

�� zazašštititi registar od anonimnog pristupatititi registar od anonimnog pristupa

�� prije prije logiranjalogiranjakorisnika prikazati pravila korisnika prikazati pravila dozvoljenog koridozvoljenog korišštenjatenja

�� postaviti brisanje datoteke postaviti brisanje datoteke stranistraniččenjaenja((paggingpagging) )

�� nametnuti uporabu jakih lozinkinametnuti uporabu jakih lozinki

�� odrediti postavke zakljuodrediti postavke zaključčavanja korisniavanja korisniččkih rakih raččunauna


�� ne koristiti ne koristiti AutoRunAutoRunopcijuopciju•• neprovjereni kod se moneprovjereni kod se možže pokrenuti s CDe pokrenuti s CD--aa

�� izmijeniti predefinirane postavke dozvola na izmijeniti predefinirane postavke dozvola na datotekamadatotekama•• Windowsi predefinirano ne primjenjuju posebna Windowsi predefinirano ne primjenjuju posebna

ograniograniččenja na lokalne pretince ili datotekeenja na lokalne pretince ili datoteke

•• grupa grupa EveryoneEveryoneima puna prava na gotovo cijelom diskuima puna prava na gotovo cijelom disku

•• ova grupa treba biti uklonjena i napravljene grupe koje ova grupa treba biti uklonjena i napravljene grupe koje odgovaraju stvarnim potrebama organizacijeodgovaraju stvarnim potrebama organizacije

14


�� registarregistar•• iako se promjene rade preko GUI suiako se promjene rade preko GUI suččelja, stvarno se elja, stvarno se

biljebilježže u registrue u registru

•• veveććina funkcija registra ne moina funkcija registra ne možže se postavljati preko e se postavljati preko GUI suGUI suččeljaelja

•• mnoge ranjivosti mogu se popraviti intervencijom u mnoge ranjivosti mogu se popraviti intervencijom u registruregistru


�� FAT sigurnostFAT sigurnost•• ““ outout--ofof--boxbox”” instalacija dolazi i sa sigurnosnim instalacija dolazi i sa sigurnosnim

postavkama, ali zbog velikog broja mrepostavkama, ali zbog velikog broja mrežžnih scenarija su nih scenarija su neaktivneneaktivne

•• osnovna je New osnovna je New TechnologyTechnologyFile File SystemSystem(NTFS) koji (NTFS) koji omoguomoguććava postavljanje dozvola pristupa na datoteava postavljanje dozvola pristupa na datoteččni ni sustavsustav

•• mnogi administratori ne ukljumnogi administratori ne uključčuju ovu opciju:uju ovu opciju:�� ččini disk nedostupan iz DOSa ini disk nedostupan iz DOSa

�� oporavak sustava oporavak sustava ččini teini težžimim

15


�� prava korisniprava korisniččkih grupakih grupa•• Windowsi imaju ugrađenu logiku koja prava pojedini Windowsi imaju ugrađenu logiku koja prava pojedini

korisnici trebaju imatikorisnici trebaju imati•• standardne grupe su:standardne grupe su:

�� UsersUsers�� DomainDomainAdministratorsAdministrators�� Power Power UsersUsers�� BackupBackupOperatorsOperators

•• preporuka je da se korisnici ne smjepreporuka je da se korisnici ne smješštaju u taju u predefiniranupredefiniranugrupu vegrupu većć kreirati nove grupe prema potrebamakreirati nove grupe prema potrebama

•• popis lokalnih grupa mogu se dobiti naredbom:popis lokalnih grupa mogu se dobiti naredbom:�� netnet localgrouplocalgroup


�� kod kreiranja korisnikod kreiranja korisniččki raki raččuna treba paziti na una treba paziti na postavke lozinki:postavke lozinki:•• korisnik na rakorisnik na raččunalo mounalo možže ue ućći samo upotrebom i samo upotrebom

korisnikorisniččkog imena i lozinkakog imena i lozinka•• određeno maksimalno trajanje lozinke određeno maksimalno trajanje lozinke (90 (90 do 18do 180 d0 dana)ana)•• određeno minimalno trajanje lozinke određeno minimalno trajanje lozinke (0 do 15 dana)(0 do 15 dana)•• minimalna duljina lozinke (8 do 14 znakova)minimalna duljina lozinke (8 do 14 znakova)•• ukljuuključčena opcija da lozinka mora imati određenu ena opcija da lozinka mora imati određenu

kompleksnostkompleksnost•• pohrana lozinki koripohrana lozinki korišštenjem reverzibilne enkripcije tenjem reverzibilne enkripcije

mora biti iskljumora biti isključčenaena

16


•• postavljeno zakljupostavljeno zaključčavanje korisniavanje korisniččkog rakog raččuna nakon 3 una nakon 3 neuspjeneuspješšna pokuna pokuššajaaja

•• postaviti vrijeme nakon kojeg se korisnik ponovo mopostaviti vrijeme nakon kojeg se korisnik ponovo možže e pokupokuššati ati logiratilogirati na 15 minutana 15 minuta

•• ukljuuključčiti zapisivanje o uspjeiti zapisivanje o uspješšnim i neuspjenim i neuspješšnim nim pristupima na korisnipristupima na korisniččke rake raččuneune

•• ukljuuključčiti zapisivanje o pristupima na sustaviti zapisivanje o pristupima na sustav

•• ukljuuključčiti zapisivanje sistemskih događajaiti zapisivanje sistemskih događaja

�� podaci o postavkama mogu se dobiti naredbompodaci o postavkama mogu se dobiti naredbom•• netnet accountsaccounts


�� pravila dobre lozinke:pravila dobre lozinke:•• dovoljno duga (preporuka 14 znakova) dovoljno duga (preporuka 14 znakova) –– upotreba upotreba

passphrasepassphrase--aa

•• nikad ne koristiti istu lozinku na dva razlinikad ne koristiti istu lozinku na dva različčita sustavaita sustava

•• ne koristiti lozinku koju napadane koristiti lozinku koju napadačč momožže lako e lako pretpostavitipretpostaviti

17

3.3.1.2. Instalacija aplikacija1.2. Instalacija aplikacija

�� nakon ojanakon ojaččavanja sustava, instaliraju se aplikacijeavanja sustava, instaliraju se aplikacije�� prvo prvo ššto treba instalirati je to treba instalirati je antivirusna aplikacijaantivirusna aplikacija

�� ukoliko se raukoliko se raččunalo zarazi, mounalo zarazi, možže ga biti vrlo tee ga biti vrlo tešško, a ko, a ponekad i nemoguponekad i nemogućće oe oččistitiistiti

�� antivirusna zaantivirusna zašštita treba se temeljiti na:tita treba se temeljiti na:•• korikorišštenju antivirusne aplikacijetenju antivirusne aplikacije

�� ukljuuključčen redoviti dohvat nadogradnjien redoviti dohvat nadogradnji

•• pravilnim postavkama operacijskog sustavapravilnim postavkama operacijskog sustava�� iskljuisključčiti sve nepotrebne servise koji mogu omoguiti sve nepotrebne servise koji mogu omoguććiti virusu dostup iti virusu dostup

do rado raččunalaunala

•• obuci korisnika obuci korisnika �� korisnici vlastitom pakorisnici vlastitom pažžnjom mogu sami zaustaviti venjom mogu sami zaustaviti veććinu virusa, crvi i inu virusa, crvi i

trojanskih konjatrojanskih konja


�� primjeri primjeri šširenja virusa:irenja virusa:•• bootboot--abilnimabilnim disketama koje se prenose s radisketama koje se prenose s raččunala na raunala na raččunalounalo

�� danas veoma rijetkodanas veoma rijetko

•• korikorišštenjem dijeljenih pretinacatenjem dijeljenih pretinaca�� primjer: virus W32NetSky koji se duplicira na brojnim datotekamaprimjer: virus W32NetSky koji se duplicira na brojnim datotekamau u

svakom otvorenom dijeljenom pretincusvakom otvorenom dijeljenom pretincu

•• kao prilozi elektronikao prilozi elektroniččkoj pokoj pošštiti�� otvaranjem priloga, virus se pokreotvaranjem priloga, virus se pokrećće i e i šširi iri ššaljualjućći svoj kod na sve i svoj kod na sve

adrese koje pronađe u raadrese koje pronađe u raččunaluunalu

•• skidanjem datoteka s Internetaskidanjem datoteka s Interneta�� neprovjerene datoteke mogu sadrneprovjerene datoteke mogu sadržžavati zloavati zloććudni kodudni kod

•• iskoriiskorišštavanjem ranjivosti aplikacijetavanjem ranjivosti aplikacije�� primjer: virus primjer: virus SlammerSlammerkoji se koji se šširi s rairi s raččunala na raunala na raččunalo unalo

iskoriiskorišštavajutavajućći ranjivost SQL baze podatakai ranjivost SQL baze podataka

18


�� instalacija instalacija osobnog osobnog vatrozidavatrozida�� osobni osobni vatrozidivatrozidiblokiraju dolazni i odlazni promet blokiraju dolazni i odlazni promet

s ras raččunalaunala

�� pravilna postavka bi bila blokirati sve pravilna postavka bi bila blokirati sve ššto dolazi i to dolazi i odlazi s raodlazi s raččunalaunala

�� nakon toga, panakon toga, pažžljivo birati koji promet propustitiljivo birati koji promet propustiti


�� instalacija instalacija SecureSecureShellShell (SSH)(SSH)�� program koji omoguprogram koji omoguććava spajanje na udaljeno raava spajanje na udaljeno raččunalounalo�� osigurava veze uspostavljene preko mreosigurava veze uspostavljene preko mrežže e enkriptirajuenkriptirajuććii

sav promet (podatke i lozinke)sav promet (podatke i lozinke)�� podrpodržžava RSA baziranu metodu ava RSA baziranu metodu autentikacijeautentikacije

•• enkripcija i enkripcija i dekripcijadekripcijaobavlja se koriobavlja se korišštenjem odvojenih kljutenjem odvojenih ključčevaeva•• nije mogunije mogućće izvesti jedan kljue izvesti jedan ključč iz drugogiz drugog•• svaki korisnik kreira javni/privatni par kljusvaki korisnik kreira javni/privatni par ključčevaeva•• server zna javni, a korisnik privatni kljuserver zna javni, a korisnik privatni ključč

�� podrpodržžava prosljeđivanje prikljuava prosljeđivanje priključčnih tonih toččaka aka ččime mu se ime mu se znatno proznatno prošširuje uporabairuje uporaba

•• tipitipiččni primjer je primjena u enkripciji eni primjer je primjena u enkripciji e--mail prometamail prometa

19


�� instalacija instalacija SecureSecureFTPFTP ((sFTPsFTP))�� klijent za prijenos datoteka između radne stanice i klijent za prijenos datoteka između radne stanice i

FTP posluFTP poslužžiteljaitelja�� koristi iste enkripcijske i koristi iste enkripcijske i autentikacijskeautentikacijskemetode metode

kao i SSH kao i SSH –– implementacija FTPimplementacija FTP--a preko SSHa preko SSH�� osim prijenosa omoguosim prijenosa omoguććava i:ava i:

•• brisanje datotekabrisanje datoteka•• promjenu imenapromjenu imena•• stvaranje i brisanje pretinacastvaranje i brisanje pretinaca•• promjenu prava pristupa korisnikapromjenu prava pristupa korisnika

3.3.1.3. Postavljanje radne stanice na 1.3. Postavljanje radne stanice na mremrežžuu

�� dobro ojadobro ojaččanu radnu stanicu na mreanu radnu stanicu na mrežžu je u je potrebno staviti u sigurni segmentpotrebno staviti u sigurni segment

�� ovo podrazumijeva da je mreovo podrazumijeva da je mrežža vea većć dizajnirana dizajnirana i konstruirana na siguran nai konstruirana na siguran naččinin

�� pojedini dijelovi mrepojedini dijelovi mrežže su sigurniji od drugihe su sigurniji od drugih

�� raraččunalo se treba postaviti u najsigurniji dio unalo se treba postaviti u najsigurniji dio koji mu i dalje omogukoji mu i dalje omoguććava obavljati sve ava obavljati sve funkcije za koje je namijenjenfunkcije za koje je namijenjen

20


�� tipitipiččan primjer arhitekture mrean primjer arhitekture mrežže:e:


�� najmanje siguran dio je DMZ (demilitarizirana najmanje siguran dio je DMZ (demilitarizirana zona)zona)•• raraččunala u ovom dijelu moraju biti posebno unala u ovom dijelu moraju biti posebno ooččvrsnutavrsnuta

•• ne smiju sadrne smiju sadržžavati nikakve osobne ili osjetljive podatkeavati nikakve osobne ili osjetljive podatke�� ukoliko mora pruukoliko mora pružžati takve informacije, one se moraju ati takve informacije, one se moraju

dohvadohvaććati iz sigurnijeg dijela mreati iz sigurnijeg dijela mrežže u zadnji e u zadnji ččas (po zahtjevu)as (po zahtjevu)

•• imati instalirano minimum potrebnih aplikacijaimati instalirano minimum potrebnih aplikacija

�� sljedesljedećći je intranet poduzei je intranet poduzeććaa

�� najsigurniji dio je privatni segment (koji sadrnajsigurniji dio je privatni segment (koji sadržži i osobne i osjetljive podatke)osobne i osjetljive podatke)

21

3.3.1.4. Sigurno kori1.4. Sigurno korišštenje Windows tenje Windows radne staniceradne stanice

�� nakon nakon ššto je radna stanica ispravno instalirana to je radna stanica ispravno instalirana i postavljena u mrei postavljena u mrežžu, mou, možže se koristitie se koristiti

�� pri tome je bitno koristiti je na siguran napri tome je bitno koristiti je na siguran naččinin

�� ukoliko je korisnik koristi na nesiguran naukoliko je korisnik koristi na nesiguran naččin, in, momožže napraviti sustav ranjivime napraviti sustav ranjivim


�� fizifizi ččka sigurnostka sigurnost�� radne stanice koje se ne koriste treba osiguratiradne stanice koje se ne koriste treba osigurati

•• preporupreporuččuje se iskljuuje se isključčivanje radnih stanica van radnog ivanje radnih stanica van radnog vremenavremena

•• ukoliko radna stanica treba ostati ukljuukoliko radna stanica treba ostati uključčena, preporuena, preporuččuje uje se se odspojitiodspojiti je s mreje s mrežže:e:

�� odspojitiodspojiti je na je na vatroziduvatroziduuklanjajuuklanjajućći mrei mrežžne konekcijene konekcije�� dodati pravila na dodati pravila na vatroziduvatrozidukoja onemogukoja onemoguććavaju promet nakon avaju promet nakon

radnog vremenaradnog vremena�� odspojitiodspojitikabel ili onemogukabel ili onemoguććiti mreiti mrežžno suno suččeljeelje

�� ne dozvoliti pristup strancimane dozvoliti pristup strancima

22


�� konfiguracija radne stanicekonfiguracija radne stanice�� antivirusna aplikacijaantivirusna aplikacija

•• osim same instalacije i konfiguracije potrebno je:osim same instalacije i konfiguracije potrebno je:�� povremeno rupovremeno ruččno pokrenuti pretrano pokrenuti pretražživanjeivanje�� namjestiti aplikaciju da provjerava sve nove datotekenamjestiti aplikaciju da provjerava sve nove datoteke�� namjestiti aplikaciju da provjerava svaku izvrnamjestiti aplikaciju da provjerava svaku izvrššnu datotekunu datoteku�� redovito je aredovito je ažžuriratiurirati

�� upravljanje korisniupravljanje korisniččkim rakim raččunimaunima•• sigurnost radne stanice ovisi o odgovornom ponasigurnost radne stanice ovisi o odgovornom ponaššanju korisnikaanju korisnika•• potrebno je povremeno provjeravati prava korisnikapotrebno je povremeno provjeravati prava korisnika

�� postoje li korisnici jopostoje li korisnici jošš u organizaciji u organizaciji –– ukoliko ne ukoliko ne pobrisatipobrisatikorisnikorisniččki ki raraččunun

�� da li su promijenili ulogu da li su promijenili ulogu –– dodijeliti im nova pravadodijeliti im nova prava


�� provjera aplikacija na sustavuprovjera aplikacija na sustavu•• ukoliko je instalirana aplikacija potencijalno opasna ukoliko je instalirana aplikacija potencijalno opasna ––

ukloniti je s radne staniceukloniti je s radne stanice

•• ukoliko je aplikacija potrebna ukoliko je aplikacija potrebna –– redovito provjeravati redovito provjeravati zakrpezakrpe

•• upotrebljavati sigurnije verzije aplikacijeupotrebljavati sigurnije verzije aplikacije

23


�� operativne tehnikeoperativne tehnike�� provoditi sigurnosnu politikuprovoditi sigurnosnu politiku�� minimizirati uporaba administratorskog korisniminimizirati uporaba administratorskog korisniččkog rakog raččunauna�� nametnuti sigurno korinametnuti sigurno korišštenje podatakatenje podataka

•• ukoliko je raukoliko je raččunalo na Internetu ne smije imati na sebi osobne ili unalo na Internetu ne smije imati na sebi osobne ili osjetljive podatkeosjetljive podatke

•• MS Word dokumenti sadrMS Word dokumenti sadržže skrivene podatke o osobi koja je e skrivene podatke o osobi koja je kreirala dokument, te ga mijenjalakreirala dokument, te ga mijenjala

�� dobro je dokument spremiti u RFT formatu koji ne sadrdobro je dokument spremiti u RFT formatu koji ne sadržži i metapodatkemetapodatke

�� otvoriti novi dokument i stari kopirati otvoriti novi dokument i stari kopirati –– bit bit ćće kopirani samo podaci, e kopirani samo podaci, ali ne i ali ne i metapodacimetapodaci

�� snimiti dokument sa snimiti dokument sa ““ Save asSave as…”…”•• definirati stupanj povjerljivosti podatakadefinirati stupanj povjerljivosti podataka


�� izbjegavati viruse, crve, trojanceizbjegavati viruse, crve, trojance……•• iskljuisključčiti iti PreviewPreviewmogumoguććnosti koje klijent posjedujenosti koje klijent posjeduje

�� ovo moovo možže omogue omoguććiti automatsko izvriti automatsko izvrššavanje zloavanje zloććudnog kodaudnog koda

•• ne otvarati poruke od nepoznatih pone otvarati poruke od nepoznatih poššiljateljailjatelja•• priloge otvarati samo ako se opriloge otvarati samo ako se oččekujuekuju•• ne slijediti nikakve linkove u porukama tipa: ne slijediti nikakve linkove u porukama tipa: ““ pogledaj pogledaj

ovoovo…”…”•• ukoliko se poruka mora otvoriti, koristiti mail klijent ukoliko se poruka mora otvoriti, koristiti mail klijent

koji nije toliko osjetljiv na virusekoji nije toliko osjetljiv na viruse•• iskljuisključčiti moguiti moguććnost korinost korišštenja makroa u tekstualnim i tenja makroa u tekstualnim i

tablitabliččnim dokumentimanim dokumentima

24


�� lozinke ispravno upotrebljavatilozinke ispravno upotrebljavati•• lozinku treba znati samo korisniklozinku treba znati samo korisnik•• ukoliko se lozinka sustavno dodjeljuje, obavezno je ukoliko se lozinka sustavno dodjeljuje, obavezno je

promijenitipromijeniti•• promijeniti sve predefinirane lozinkepromijeniti sve predefinirane lozinke•• sustav ne smije dozvoliti da lozinka ne postojisustav ne smije dozvoliti da lozinka ne postoji•• lozinka se ne smije nigdje pojaviti napisanalozinka se ne smije nigdje pojaviti napisana•• ukoliko se sprema u digitalnom obliku mora biti ukoliko se sprema u digitalnom obliku mora biti

enkriptiranaenkriptirana•• ukoliko se lozinka mora nekom reukoliko se lozinka mora nekom rećći, mora se i, mora se

promijeniti promijeniti ččim ta potreba prođeim ta potreba prođe


�� lozinka mora biti pravilno postavljenalozinka mora biti pravilno postavljena•• minimum 8 znakovaminimum 8 znakova•• moraju biti mijemoraju biti miješšana slova, brojevi i specijalni znakoviana slova, brojevi i specijalni znakovi•• ne smije sadrne smije sadržžavati:avati:

�� korisnikorisniččko imeko ime�� vlastito ime ili prezimevlastito ime ili prezime�� telefonski brojtelefonski broj�� jmbg / brjmbg / broj osobne iskazniceoj osobne iskaznice�� adresuadresu�� datum rođenjadatum rođenja�� akronim organizacije ili radne grupeakronim organizacije ili radne grupe�� rijeriječč (pogotovo engleskog govornog podru(pogotovo engleskog govornog područčja)ja)�� vivišše od 4 istovrsna znaka zaredom (4 slova, 4 brojkee od 4 istovrsna znaka zaredom (4 slova, 4 brojke……))�� vivišše od 3 ista karaktera zaredom (e od 3 ista karaktera zaredom (aaaaaa, 222, 222…….).)

•• ne smije se mone smije se moćći ponovo i ponovo upotrebitiupotrebiti

25


�� ograniograniččiti upotrebu NetBIOSiti upotrebu NetBIOS--aa•• koristi se za konvencionalno dijeljenje resursakoristi se za konvencionalno dijeljenje resursa•• ranjivosti NetBIOSranjivosti NetBIOS--a a ččine Windows radnu stanicu ine Windows radnu stanicu

laganim ciljemlaganim ciljem

�� izbjegavati NULL vezeizbjegavati NULL veze•• veza uspostavljena bez veza uspostavljena bez autentikacijeautentikacije•• primjer:primjer:

�� netnet use <mount point> use <mount point> \\ \\ <host><host> \\ <path> <path> /user:/user: " "" "

•• ukoliko napadaukoliko napadačč momožže doe doćći do informacija o rai do informacija o raččunalu, unalu, momožže lake lakšše ue ućći na njegai na njega

•• mogu se koristiti za pristupanje sistemski dijeljenim mogu se koristiti za pristupanje sistemski dijeljenim resursimaresursima


�� provoditi redovitu izradu zaprovoditi redovitu izradu zašštitni kopijatitni kopija•• glavni razlog: kvar sklopovljaglavni razlog: kvar sklopovlja

•• kada izraditi zakada izraditi zašštitnu kopiju:titnu kopiju:�� nakon instalacije i ojanakon instalacije i ojaččavanja avanja –– izraditi sliku cijelog sustavaizraditi sliku cijelog sustava

�� prije primjene zakrpi i nadogradnji prije primjene zakrpi i nadogradnji –– svih podatakasvih podataka

�� prije prijenosa radne stanice prije prijenosa radne stanice –– svih podatakasvih podataka

�� periodiperiodiččno no –– svih podatakasvih podataka

�� ččeeššćće e –– kritikriti ččnih podatakanih podataka

•• dobra aplikacija za izradu zadobra aplikacija za izradu zašštitne kopije titne kopije ćće pohraniti promjene u e pohraniti promjene u operacijskom sustavu, promijenjenim datotekama, u operacijskom sustavu, promijenjenim datotekama, u SecuritySecurityAccountsAccountsManagerManager--u i registrimau i registrima

•• kopija se ne smije smatrati napravljenom ukoliko nije provjerenakopija se ne smije smatrati napravljenom ukoliko nije provjerena

26

3.3.1.5. Nadogradnje i zakrpe1.5. Nadogradnje i zakrpe

�� podrupodruččje sigurnosti stalno se mijenjaje sigurnosti stalno se mijenja

�� napadanapadačči stalno pronalaze nove nai stalno pronalaze nove naččine napadaine napada

�� tehnologija se stalno mijenjatehnologija se stalno mijenja

�� sve to uzrokuje da su radne stanice izlosve to uzrokuje da su radne stanice izložžene ene sve vesve veććoj opasnostioj opasnosti

�� pozitivno: proizvpozitivno: proizvođaođačči postaju sve svjesnijii postaju sve svjesniji

3.3.1.5. Nadogradnje i zakrpe1.5. Nadogradnje i zakrpe

�� biti u toku s Microsoft zakrpama i nadogradnjamabiti u toku s Microsoft zakrpama i nadogradnjama�� MS dijeli zakrpe prema riziku na:MS dijeli zakrpe prema riziku na:

•• kritikriti ččne ne �� ranjivosti ranjivosti ččije iskoriije iskorišštavanje omogutavanje omoguććuje uje šširenje crva bez korisnikovog irenje crva bez korisnikovog

znanjaznanja

•• vavažžnene�� ranjivosti ranjivosti ččije iskoriije iskorišštavanje motavanje možže rezultirati kompromitiranjem e rezultirati kompromitiranjem

povjerljivosti, integriteta ili dostupnosti korisnipovjerljivosti, integriteta ili dostupnosti korisniččki podataka ili uslugaki podataka ili usluga

•• srednjeg rizikasrednjeg rizika�� ovise o konfiguraciji korisnikaovise o konfiguraciji korisnika

•• niskog rizikaniskog rizika�� ranjivosti koje je izuzetno teranjivosti koje je izuzetno tešško iskoristiti ili ko iskoristiti ili ččiji je utjecaj minimalaniji je utjecaj minimalan

27

3.3.1.6. Odr1.6. Održžavanje i testiranje sigurnostiavanje i testiranje sigurnosti

�� prijetnje kojima su Windows radne stanice prijetnje kojima su Windows radne stanice izloizložžene su stalno mijenjaju i poboljene su stalno mijenjaju i poboljššavajuavaju

�� sve visve višše napadae napadačča eksperimentiraju s alatima a eksperimentiraju s alatima za napadza napad

�� dostupnost do alata danas je vedostupnost do alata danas je većća no ikada no ikad

�� sve to sve to ččini da administratori moraju stalno biti ini da administratori moraju stalno biti na strana stražžii


�� skenirati u potrazi za ranjivostimaskenirati u potrazi za ranjivostima�� izvoditi periodiizvoditi periodiččnono

�� ispitivati upitne aplikacijeispitivati upitne aplikacije�� ukoliko se ne zna porijeklo aplikacije, treba je ukoliko se ne zna porijeklo aplikacije, treba je

smatrati upitnom i testiratismatrati upitnom i testirati

�� trebalo bi imati dodatnu radnu stanicu na kojoj se trebalo bi imati dodatnu radnu stanicu na kojoj se obavlja testiranjeobavlja testiranje

�� privatno, moprivatno, možže se napraviti slika sustava i tek e se napraviti slika sustava i tek nakon toga instalirati aplikacijunakon toga instalirati aplikaciju

28


�� biti osjetljiv na performanse sustavabiti osjetljiv na performanse sustava�� napadi napadi ččesto rezultiraju iskoriesto rezultiraju iskorišštavanjem sustava koje se tavanjem sustava koje se

momožže detektirati:e detektirati:•• uuččestalom aktivnosti diskaestalom aktivnosti diska

•• uuččestalim i neplanskim koriestalim i neplanskim korišštenjem mretenjem mrežžee

•• ččestim padovima sustavaestim padovima sustava

•• neobineobiččnim ponanim ponaššanjem aplikacijaanjem aplikacija

�� napadanapadačči su svjesni da svojim aktivnostima pobuđuju i su svjesni da svojim aktivnostima pobuđuju sumnju administratora, te to pokusumnju administratora, te to pokuššavaju ograniavaju ograniččitiiti

�� administrator mora biti joadministrator mora biti jošš osjetljivijiosjetljiviji


�� zamijeniti stare Windows sustavezamijeniti stare Windows sustave�� Windowsi u svaku novu verziju implementiraju Windowsi u svaku novu verziju implementiraju

poboljpoboljššane sigurnosne postavkeane sigurnosne postavke�� najvenajvećći problem su bile slabe lozinke u LANMAN i problem su bile slabe lozinke u LANMAN

tehnologijitehnologiji�� Win9x joWin9x jošš uvijek koriste tu tehnologiju i ona na uvijek koriste tu tehnologiju i ona na

tim sustavima ne motim sustavima ne možže biti zamijenjenae biti zamijenjena�� uvijek instalirati zadnje sigurne verzije sustavauvijek instalirati zadnje sigurne verzije sustava

•• imati na umu da prođe između imati na umu da prođe između 6 i 12 mjeseci dok se 6 i 12 mjeseci dok se nova verzija operacijskog sustava dovoljno ne testiranova verzija operacijskog sustava dovoljno ne testira

29


�� svako koliko ponovo provjeriti sigurnost svako koliko ponovo provjeriti sigurnost sustava:sustava:�� kada se korisnik dodaje ili brikada se korisnik dodaje ili brišše sa sustavae sa sustava

�� kad se dodaju vekad se dodaju većće zakrpe ili nadogradnjee zakrpe ili nadogradnje

�� za vrijeme uobiza vrijeme uobiččajeno mirnih razdoblja (zadnji ajeno mirnih razdoblja (zadnji tjedan u godini)tjedan u godini)


�� nadgledanjenadgledanje�� sustav se mora kontinuirano nadgledati da bi se uosustav se mora kontinuirano nadgledati da bi se uoččile ile

napadi na sustav kao i lonapadi na sustav kao i lošše ponae ponaššanje korisnikaanje korisnika�� pratiti se treba sljedepratiti se treba sljedećće:e:

•• sistemski dnevnici (logovi)sistemski dnevnici (logovi)•• dnevnici sustava elektronidnevnici sustava elektroniččke poke pošštete•• neuspjeli pokuneuspjeli pokuššaji pristupaaji pristupa•• gregrešške koje dojavljuju aplikacijeke koje dojavljuju aplikacije•• promjenu kritipromjenu kritiččnih datotekanih datoteka•• prava na kritiprava na kritiččnim datotekamanim datotekama•• testovi performansi sustavatestovi performansi sustava•• iskoriiskorišštenost diskatenost diska

30


�� zapisi u dnevnikezapisi u dnevnike�� administrator bi treba ukljuadministrator bi treba uključčiti iti ššto je moguto je mogućće vie višše e

opcija biljeopcija bilježženja zapisa, a da to ne utjeenja zapisa, a da to ne utječče na e na performanse sustavaperformanse sustava

�� potrebno je raditi zapise podizanja sustavapotrebno je raditi zapise podizanja sustava

�� zapise treba redovito pratitizapise treba redovito pratiti•• uuččestalost ovisi o poloestalost ovisi o položžaju radne stanice unutar mreaju radne stanice unutar mrežžee

�� ukoliko je stanica u DMZ ukoliko je stanica u DMZ –– dnevnodnevno

�� unutar mreunutar mrežže, iza e, iza vatrozidavatrozida–– tjednotjedno

�� u nedostupnom privatnom dijelu u nedostupnom privatnom dijelu -- mjesemjeseččnono


�� provoditi provoditi ččiiššććenje sustavaenje sustava�� proproćći kroz i kroz AddAdd/Remove /Remove ProgramsProgramsi ukloniti sve i ukloniti sve

programe koji se ne koristeprograme koji se ne koriste

�� arhivirati i ukloniti stare projekte arhivirati i ukloniti stare projekte –– smanjuje se smanjuje se opasnost od gubitaka podatakaopasnost od gubitaka podataka

�� povremeno pokretati programe za povremeno pokretati programe za ččiiššććenje diskovaenje diskova•• ovo ovo ćće obrisati privremene datoteke, e obrisati privremene datoteke, cachecache--irane irane

informacije s Interneta u kojima se mogu nainformacije s Interneta u kojima se mogu naćći osobni i osobni podaci korisnikapodaci korisnika

31

3.3.1.7. Napadi na Windows radne 1.7. Napadi na Windows radne stanicestanice

�� popisi Windows ranjivosti mogu se napopisi Windows ranjivosti mogu se naćći na i na stranicamastranicama�� NTBugTraqNTBugTraq

�� SecurityFocusSecurityFocus

�� liste ranjivosti svakodnevno rastuliste ranjivosti svakodnevno rastu


�� virusivirusi�� virus je dio koda koji se ubacuje u aplikacijuvirus je dio koda koji se ubacuje u aplikaciju�� kao i biolokao i biološški virus, ne moki virus, ne možže se sam e se sam šširiti, veiriti, većć treba aplikaciju ili treba aplikaciju ili

datoteku koja datoteku koja ćće ga dalje rasprostiratie ga dalje rasprostirati�� prvobitne verzije virusa zarazile bi prvobitne verzije virusa zarazile bi bootbootsektor diskete sektor diskete šširile su se irile su se

dijeljenjem disketa dijeljenjem disketa –– danas diskete vidanas diskete višše nisu praktie nisu praktiččnene�� neki se virusi mogu zakaneki se virusi mogu zakaččiti na korisniiti na korisniččke datoteke, ke datoteke, nprnpr. tekstualne ili . tekstualne ili

tablitabliččnene•• iskoriiskorišštavaju mogutavaju moguććnost pokretanja nost pokretanja skriptiskripti unutar datotekaunutar datoteka

�� jedan od prvih jedan od prvih šširoko rasprostranjenih virusa je bio iroko rasprostranjenih virusa je bio MelissaMelissa•• šširio se irio se zarazaražžavajuavajuććii Word dokumenteWord dokumente•• inficirao bi inficirao bi NormalNormal..dotdot datoteku nakon datoteku nakon ččega bi svaka snimljena datoteka ega bi svaka snimljena datoteka

bila zarabila zaražženaena•• MS sada ima zaMS sada ima zašštitu nazvanu titu nazvanu MacroMacroVirus Virus ProtectionProtectionkoja onemogukoja onemoguććava ava

pokretanje makroapokretanje makroa

32


�� kod virusa ima ista prava kao i aplikacija koja ga udomljujekod virusa ima ista prava kao i aplikacija koja ga udomljuje

�� ee--mail virusi se mail virusi se ššire od raire od raččunala do raunala do raččunala kao dijelovi unala kao dijelovi porukeporuke

•• mogu biti prilozi koji se moraju otvoriti ilimogu biti prilozi koji se moraju otvoriti ili

•• skripte koje se same mogu pokrenutiskripte koje se same mogu pokrenuti

�� ILOVEYOU je bio virus koji se aktivirao u proljeILOVEYOU je bio virus koji se aktivirao u proljećće 2000. i e 2000. i koji se automatski slao na sve adrese u koji se automatski slao na sve adrese u addressbookaddressbook--u u zarazaražženog raenog raččunalaunala

�� iskljuisključčujuujućći mogui moguććnost pokretanja nost pokretanja VisualBasicVisualBasicskriptiskripti, , onemoguonemoguććuje se i aktiviranje ovakvih virusauje se i aktiviranje ovakvih virusa


�� crvicrvi�� crv je kod koji ima mogucrv je kod koji ima moguććnost razmnonost razmnožžavanja i avanja i šširenja na irenja na

druga radruga raččunalaunala

�� osim toga, moosim toga, možže sadre sadržžavati i kod koji moavati i kod koji možže biti e biti destruktivandestruktivan

�� mora iskoristiti ranjivost na ramora iskoristiti ranjivost na raččunalu da bi se pokrenuounalu da bi se pokrenuo

�� najbolja zanajbolja zašštita je redovito odrtita je redovito održžavanje sustava instalacijom avanje sustava instalacijom zakrpi i nadogradnji i minimiziranje broja usluga na zakrpi i nadogradnji i minimiziranje broja usluga na raraččunalu (unalu (nprnpr. ako radna stanica ne treba pru. ako radna stanica ne treba pružžat uslugu web at uslugu web stranica, potrebno je ukloniti IIS)stranica, potrebno je ukloniti IIS)

33


�� trojanski konjitrojanski konji�� program koji se maskira kao jedna aplikacija, a skriveno program koji se maskira kao jedna aplikacija, a skriveno

obavlja drugu funkcijuobavlja drugu funkciju�� korisnici vjeruju da pokrekorisnici vjeruju da pokrećću stvarnu aplikaciju, u stvarnu aplikaciju, nprnpr. .

screensaverscreensaver, aplikacija se zaista pokre, aplikacija se zaista pokrećće, ali u pozadini e, ali u pozadini momožže obavljati cijeli niz funkcijae obavljati cijeli niz funkcija

�� ne mogu se sami razmnone mogu se sami razmnožžavatiavati�� oslanjaju se na korisnike koji pristaju pokretati izvroslanjaju se na korisnike koji pristaju pokretati izvrššne ne

programe iz nepouzdanih izvoraprograme iz nepouzdanih izvora�� time to postaje vitime to postaje višše problem socijalnog ine problem socijalnog inžženjeringaenjeringa

•• kako navesti korisnika da pokrene aplikacijukako navesti korisnika da pokrene aplikaciju


�� spywarespyware ii adwareadware�� spywarespywareje grupa aplikacija koje skupljaju informacije o je grupa aplikacija koje skupljaju informacije o

radnim stanicama i korisnicimaradnim stanicama i korisnicima�� informacije se informacije se ššalju natrag onom tko je razvio aplikaciju s alju natrag onom tko je razvio aplikaciju s

ciljem pripreme reklama ili redizajniranje marketinciljem pripreme reklama ili redizajniranje marketinšških kih kampanjakampanja

�� spywarespywarepredstavlja jopredstavlja jošš vevećću prijetnju jer podaci sadru prijetnju jer podaci sadržže e informacije o osobi, informacije o osobi, nprnpr..

•• ee--mail adresa za slanje mail adresa za slanje spamaspama•• broj telefona za anketiranjebroj telefona za anketiranje

�� ne zna se kome idu informacije, ne zna se kome idu informacije, a mogu se iskoristiti za a mogu se iskoristiti za krađu identitetakrađu identiteta

34


�� Windows radne stanice pohranjuju podatke na razna mjesta Windows radne stanice pohranjuju podatke na razna mjesta koja su dostupna aplikacijamakoja su dostupna aplikacijama

•• primjer: dostup informacijama u primjer: dostup informacijama u cookiecookie--jimajima�� cookiecookie--jiji mogu sadrmogu sadržžavati bilo koju informaciju koja se u bilo kojem avati bilo koju informaciju koja se u bilo kojem

trenu unosila na web stranicu, trenu unosila na web stranicu, nprnpr..

•• ime i adresuime i adresu

•• broj telefona, ebroj telefona, e--mail adresumail adresu

•• JMBG, broj tekuJMBG, broj tekuććeg raeg raččuna, PIN bankovne karticeuna, PIN bankovne kartice

•• imena djece, djevojaimena djece, djevojaččko ime, ime kuko ime, ime kuććnog ljubimcanog ljubimca

•• poslodavac, plaposlodavac, plaććaa

•• broj automobilske tablice, tip i model autabroj automobilske tablice, tip i model auta

�� web posluweb poslužžitelj odluitelj odluččuje koliko je vrijeme trajanja uje koliko je vrijeme trajanja cookiecookie--jaja

�� mogu se iskljumogu se isključčiti, ali to nije praktiiti, ali to nije praktiččno, ili trano, ili tražžiti dozvolu za slanjeiti dozvolu za slanje


�� izraz izraz spywarespyware također se odnosi i na skup aplikacija koje su također se odnosi i na skup aplikacija koje su namijenjene nadzoru korisninamijenjene nadzoru korisniččke aktivnosti u prikrivenom ke aktivnosti u prikrivenom oblikuobliku

�� informacije koje se mogu prenijeti:informacije koje se mogu prenijeti:•• tipke koje je korisnik pritisnuotipke koje je korisnik pritisnuo

�� hvatanje lozinkehvatanje lozinke�� drugih osjetljivih podatakadrugih osjetljivih podataka

•• kopije porukakopije poruka•• kopije kopije instantinstantmessenger porukamessenger poruka•• slike ekranaslike ekrana•• ostale informacijeostale informacije

�� vremena vremena logiranjalogiranja�� korikorišštene aplikacijetene aplikacije�� posjeposjeććene web straniceene web stranice……

35


�� dio komercijalnih proizvoda tvrdi da modio komercijalnih proizvoda tvrdi da možže e detektirati detektirati spywarespyware•• ovi proizvodi odrovi proizvodi održžavaju bazu poznatog avaju bazu poznatog spywarespyware--aa

•• ne treba se pouzdavati da mogu detektirati sve postojene treba se pouzdavati da mogu detektirati sve postojećće e spywarespywareaplikacijeaplikacije


�� fizifizi ččki napadiki napadi�� ukoliko se moukoliko se možže fizie fiziččki doki doćći do radne stanice, i do radne stanice,

momožže je se i napastie je se i napasti•• ukoliko napadaukoliko napadačč momožže e bootboot--ati sustav s diskete ili cdati sustav s diskete ili cd--a, a,

momožže doe doćći do lozinki na sustavu ili ih uklonitii do lozinki na sustavu ili ih ukloniti

•• programi za praprogrami za praććenje pritisnutih tipki se mogu ubaciti na enje pritisnutih tipki se mogu ubaciti na sustavsustav

•• momožže se pratiti mree se pratiti mrežžni prometni promet

36


�� TEMPEST napadiTEMPEST napadi�� TransientTransientElectromagneticElectromagneticPulse Pulse EmanationEmanation

Standard Standard –– TEMPESTTEMPEST

�� sastoji se od hvatanja elektromagnetskog zrasastoji se od hvatanja elektromagnetskog zraččenja enja iz elektroniiz elektroniččke opremeke opreme

�� najnajččeeššćće se koriste analizirajue se koriste analizirajućći elektromagnetsko i elektromagnetsko zrazraččenje monitoraenje monitora

�� mogu se izvoditi s udaljenosti od vimogu se izvoditi s udaljenosti od višše desetaka e desetaka metarametara


�� zazašštitatita•• raditi sa sustavima koji podlijeraditi sa sustavima koji podliježžu ograniu ograniččenjima enjima

zrazraččenja definiranim standardimaenja definiranim standardima

•• obradu vrlo osjetljivih podataka izvoditi samo na obradu vrlo osjetljivih podataka izvoditi samo na sustavima koji su TEMPEST certificiranisustavima koji su TEMPEST certificirani

•• uvijek biti svjestan okolineuvijek biti svjestan okoline

•• ukoliko se sumnja, pretraukoliko se sumnja, pretražžiti okolinu u potrazi za iti okolinu u potrazi za TEMPEST zraTEMPEST zraččenjemenjem

37


�� strastražžnja vratanja vrata ((backdoorbackdoor))�� strastražžnja vrata osiguravaju napadanja vrata osiguravaju napadačču moguu moguććnost nost

povratka na sustavpovratka na sustav�� najnajččeeššćće su prikrivena i tee su prikrivena i tešško se otkrivajuko se otkrivaju�� ukoliko je Windows radna stanica bila viukoliko je Windows radna stanica bila višše dana na e dana na

Internetu nezaInternetu nezašštitiććena, vjerojatno je probijena i ena, vjerojatno je probijena i instalirana su strainstalirana su stražžnja vratanja vrata

�� ukoliko se i detektiraju, korisnik ne moukoliko se i detektiraju, korisnik ne možže biti e biti siguran da nikakve promjene nisu napravljenesiguran da nikakve promjene nisu napravljene

�� najbolje je sustav reinstaliratinajbolje je sustav reinstalirati


�� napadi uskranapadi uskraććivanjem usluge (ivanjem usluge (DenialDenialof of ServiceService, DoS), DoS)�� DoS napade je teDoS napade je tešško sprijeko spriječčitiiti

�� svako rasvako raččunalo ima ograniunalo ima ograniččene moguene moguććnostinosti

�� sprijespriječčiti ga se moiti ga se možže:e:•• instalacijom osobnog instalacijom osobnog vatrozidavatrozida

•• korikorišštenjem mretenjem mrežžnog nog vatrozidavatrozida

•• ograniograniččavanjem aplikacija instaliranih na raavanjem aplikacija instaliranih na raččunaluunalu

38


�� ekstenzije datotekaekstenzije datoteka�� Windows sustavi imaju moguWindows sustavi imaju moguććnost skrivanja nost skrivanja

ekstenzije datoteke od korisnika, ekstenzije datoteke od korisnika, ššto bi trebalo to bi trebalo sustav napraviti ugodnijim i sustav napraviti ugodnijim i prijateljskijimprijateljskijim

�� ugodnost uvijek dolazi sa cijenomugodnost uvijek dolazi sa cijenom

�� korisnik mokorisnik možže misliti da se radi o jednom tipu e misliti da se radi o jednom tipu datoteke, a prava ekstenzija je ostala skrivenadatoteke, a prava ekstenzija je ostala skrivena

�� preporuka je iskljupreporuka je isključčiti skrivanje ekstenzijeiti skrivanje ekstenzije


�� prapraććenje paketaenje paketa�� Windows radne stanice su podloWindows radne stanice su podložžne prane praććenju prometaenju prometa�� prije se to radilo samo u okruprije se to radilo samo u okružženju u kojem su se koristila enju u kojem su se koristila

zvjezdizvjezdišštata�� danas se aplikacijama, kao danas se aplikacijama, kao nprnpr. . ethercapethercap, mo, možže pratiti e pratiti

promet i u prospojenom okrupromet i u prospojenom okružženjuenju�� u prospojenom okruu prospojenom okružženju koriste se alati koji postave enju koriste se alati koji postave

""manman--inin--thethe--middlemiddle" napad, preusmjeravaju cijeli promet " napad, preusmjeravaju cijeli promet preko napadapreko napadaččkog rakog raččunalaunala

�� na ovaj nana ovaj naččin moin možže se pratiti cijeli promete se pratiti cijeli promet�� zazašštitatita

•• koristiti enkripciju gdje je to god mogukoristiti enkripciju gdje je to god moguććee

39


�� otimanje veze otimanje veze ((hijackinghijacking)) ii ponovo puponovo pušštanje sesije tanje sesije ((sessionsessionreplayreplay))�� otimanje vezeotimanje veze

•• nastaje kad se TCP/IP veza prati i hvatanastaje kad se TCP/IP veza prati i hvata

•• veza ima izvor i odrediveza ima izvor i odredišštete

•• napadanapadačč hvata promet od izvorahvata promet od izvora

•• modificira uhvamodificira uhvaććeni promet na naeni promet na naččin da sam napadain da sam napadačč izgleda kao izgleda kao odrediodredišštete

•• time se postitime se postižže da sav budue da sav budućći promet ide napadai promet ide napadačču u

�� ponovo puponovo pušštanje vezetanje veze•• veza se uhvati, snimi i zatim ponovo puveza se uhvati, snimi i zatim ponovo puššta, po potrebi modificiranata, po potrebi modificirana


�� socijalno insocijalno inžženjerstvoenjerstvo�� metoda kojoj se dobiju vrijedne informacije o sustavu od metoda kojoj se dobiju vrijedne informacije o sustavu od

strane osobljastrane osoblja

�� napadanapadačč koristi malo unutrakoristi malo unutraššnjih informacija da bi zadobio njih informacija da bi zadobio povjerenje povjerenje žžrtvertve

�� na taj nana taj naččin od in od žžrtve dobije sve daljnje potrebne rtve dobije sve daljnje potrebne informacijeinformacije

�� primjerprimjer•• uz malo autoritativnog stava, mouz malo autoritativnog stava, možže se nazvati e se nazvati helpdeskhelpdesk, la, lažžno no

predstaviti i trapredstaviti i tražžiti hitnu promjenu zaboravljene lozinke iti hitnu promjenu zaboravljene lozinke

40


�� uvijek se treba pretpostaviti da uvijek se treba pretpostaviti da ćće napadae napadačč uvije uvije žželjeti koristiti socijalni ineljeti koristiti socijalni inžženjeringenjering

�� socijalni insocijalni inžženjering je napad od kojeg je najteenjering je napad od kojeg je najtežže e obraniti seobraniti se

�� unatounatočč najboljoj obuci, ljudi najboljoj obuci, ljudi ćće, u e, u žželji da posao elji da posao ššto bolje naprave, otkriti povjerljive informacijeto bolje naprave, otkriti povjerljive informacije

3.3.1.8. Zaklju1.8. Zaključčakak

�� Windows radna stanica je vjerojatno najnesigurniji Windows radna stanica je vjerojatno najnesigurniji dio organizacijedio organizacije

�� razlozi:razlozi:�� tipitipiččni korisnik nije dobro obuni korisnik nije dobro obuččen u pogledu sigurnosti, a en u pogledu sigurnosti, a

akcije koje moakcije koje možže provesti znatno utjee provesti znatno utječču na sigurnostu na sigurnost

�� dizajnirana je kao opdizajnirana je kao općća platforma a platforma ššto ostavlja dosta mjesta to ostavlja dosta mjesta napadanapadaččimaima

�� operacijski sustav je napravljen da odgovara operacijski sustav je napravljen da odgovara ššto veto veććem em broju korisnikabroju korisnika

�� veveććina posla u organizaciji obavlja se na radnim stanicamaina posla u organizaciji obavlja se na radnim stanicama

41

3.3.1.8. Zaklju1.8. Zaključčakak

�� radna stanica se moradna stanica se možže osiguratie osigurati

�� najbitnijenajbitnijestavke:stavke:�� ooččvrsnuti operacijski sustavvrsnuti operacijski sustav

�� instalirati sigurnosne aplikacije (kao instalirati sigurnosne aplikacije (kao ššto je to je antivirusna aplikacija)antivirusna aplikacija)

�� pripremiti mrepripremiti mrežžu u kojoj u u kojoj ćće se radna stanica e se radna stanica nalazitinalaziti

Sigurnost ra čunalnih mre žamarjan.fesb.hr/~pravdica/srm/srm_pogl3_1_bez_pozadine.pdf · vidi...

Documents

Transcript of Sigurnost ra čunalnih mre žamarjan.fesb.hr/~pravdica/srm/srm_pogl3_1_bez_pozadine.pdf · vidi...