Fizičkaza
aštitapoda
atakanara
ačuna
aru
Materijal prik
kupio i klasifikkovao Mirosllav Mihaljišin
n
Izvori:
wikipedija +
serbianforum
m.org/domacci-tutorijali/6
60311-sta-je--virus.html
http://anti-vvirusi.blogspoot.com/2009/05/neke-od--podkategoriija-virusa.htm
ml
http://www..mycity.rs/Zaastita/Kompjjuterski-viruusi.html
http://www..bitrak.com/uucenik/Komp
pjuterski%200virusi%20S
Stefan%20Sp
pasovski.pdf
http://www..smeh-do-suzza.net/forum
m/27-hardver--i-softver/12
26943-virusiccrvitrojancisppyware
http://www..mycity.rs/Zaastita/Clanak
k-za-one-koj i-su-neupuceeni-u-temu-zzastite-kompjjutera.html
http://anti-vvirusi.blogspoot.com/2009/05/sta-su-coookies.html
Sadržaj:
Šta su virussi, crvi, trojannci, spyware?!.................................................................................................................. 2 2
Virusi ..................................................................................................................................................................... 2 2
Posljediice napada viruusa ............................................ ......................................................................................................................3 Podkateegorija virusa................................................... ......................................................................................................................4 4
Crv (Worm
m) ........................................................................................................................................................... 6 6
Email ccrvi................................................................... ......................................................................................................................6 6
Kratke pporuke (ICQ i MSN)
M
crvi ............................... ......................................................................................................................7 7
Tipični internet crvi.................................................... ......................................................................................................................7 7
IRC crvvi ..................................................................... ......................................................................................................................7 7
File-shaaring mreže ili P2P
P crvi................................... ......................................................................................................................7 7
Trojanci ................................................................................................................................................................. 8 Kako se ubbacuju trojanci?? ............................................... ......................................................................................................................8 8
Vrste trojannaca ................................................................ ......................................................................................................................8 8
Zaštita od ttrojanaca ......................................................... ......................................................................................................................9 9
Osnovna prravila zaštite od virusa, crrva i trojanacca ........................................................................................... 100 Način otkriivanja mete ..................................................... ....................................................................................................................100 Odbrana ........................................................................... ....................................................................................................................100 Koji antivirrus da koristiim? ................................................................................................................................. 11 Antivirusnee metode ............................................................................................................................................. 11 Skenerii ....................................................................... ....................................................................................................................11 CRC skkeneri ............................................................... ....................................................................................................................122 Blokerii događaja – BE
EHAVIOUR BL
LOCKERS ...... ....................................................................................................................122 Imunizaatori ................................................................. ....................................................................................................................122 Kako početii, kako se kooristi AV pro
ogram? ........................................................................................................ 122 Način ppretrage uz pom
moć rječnika viru
usa .................. ....................................................................................................................13 Detekciija sumnjivog ponašanja
p
.................................. ....................................................................................................................13 Drugi ppristupi detekcijji virusa .................................... ....................................................................................................................13 Šta je firewall? ..................................................................................................................................................... 144 Šta su cookkies? .................................................................................................................................................... 166 Stvari na kooje treba obraatiti posebnu
u pažnju ...................................................................................................... 177 1
Štasuvirusi,crvi,trojanci,spyware?!
Osnovna razlika između ovih kategorija, malicioznih (zlonamjernih, štetnih) programa je u
njihovom djelovanju odnosno količini i vrsti štete koje mogu da nanesu vašem računaru odnosno
progamima ili operativnom sistemu i u njihovom distribuisanju.
Za definiciju virusa najbolje je uzeti onu dr. Fredericka Cohena po kojoj virus predstavlja program
koji može inficirati druge programe, modificirajući ih tako da uključe kopiju njega samoga, koja
takođe može biti modificirana. Pod infekcijom se misli na mogućnost virusa da ubaci svoje
izvršenje u postupak izvođenja programa.
Neka vas ne zaplaše podaci o 30-40000 virusa. Većina njih postoji samo u "laboratorijama" . Obično je u
"opticaju" svega nekoliko stotina, najviše par hiljada virusa, ali i to je previše.
Nije svaki destruktivni program virus, jer bi u tom slučaju i program Format bio virus.
Crvi su maliciozni programi koji se šire računarskim mrežama i računarima, a da pritom ne
inficiraju druge programe.
Trojanci su programi koji kada dospije u računar i pokrene se omogućava pristup Vašem računaru
sa Interneta.
Spyware-i su programi koji prate vaš rad na računaru i o tome obavještavaju nekog drugog.
Pošto je programi koji se namjerno instaliraju po (većim) firmama kako bi direktor(i) imali uvida u to što se radi na
njihovim računarima. Inače, čim instališete Microsoft-ove Windows-e, sa njima na poklon dobijete “Alexu”–
Microsoft-ov spyware. Tako da gotovo sigurno u ovom trenutku imate barem jedan spyware na svom računaru.
Virusi
Virusi - mali kompjuterski programi veličine nekoliko kilobajta, koji se obično ugnijezde u neke
druge fajlove.
Struktura virusa može se najlakše podijeliti na tri komponente, od koje virus mora obavezno imati samo
prvu.
Prva komponenta predstavlja mogućnost infekcije. Dakle nije nužno da virus radi bilo kakvu štetu na
računaru, sama činjenica da se širi infekcijom dovoljna je da ga se okarakterizira kao virus.
Drugi dio virusa, koji nije obavezan, predstavlja nosivu komponentu. Taj dio definiše sve aktivnosti koje će
biti izvedene uz njegovo širenje.
Treći dio predstavlja funkcija za okidanje koja definiše vrijeme ili događaj prilikom kojeg će biti izvršena
nosiva komponenta virusa.
Znači fajl u koji se virus već ugnijezdio je zaražen fajl, taj fajl ne mijenja ime i može se izvršavati
kao ranije (na prvi pogled je sasvim uredu), ali njegovim pokretanjem će se izvršiti i virus što
obično podrazumijeva:
• učitaće se u memoriju i biti aktivan sve vrijeme dok je računar uključen,
• kopiraće se u nove fajlove-programe na Vašem računaru,
• podesiće da se sa on pokreće prilikom svakog sljedećeg uključenja računara,
• za svaki virus je specifično šta će osim ovoga još raditi na Vašem računaru, neki virusi
mogu da brišu fajlove sa Vašeg računara ...
Komputerski virusi nemaju ničeg živog u sebi, ne prenose se putem vazduha ili dodirom diskova i disketa sa drugim
diskovima. Pošto su oni samo programi, normalno je da nisu sami nastali. Viruse pišu hakeri - iskusni programeri koji
su ili stvarno zlobni, ili žele da pokažu kako su Microsoftovi operativni sistemi namerno nezaštićeni.
Softverski rođaci bioloških virusa datiraju još iz II svetskog rata. Prvi kompjuterski virus je zapravo bio biološki:
moljac koji je zapao u kompjuter američke mornarice. Odatle potiče i izraz bug koji se koristi i za viruse i za greške u
programima. Scenu koristi Terry Gilliam u filmu Brasil gdme buba uzrokuje grešku u tekstu.
Virusi se šire i razmnožavaju uglavnom tako što sami sebe ugnjezde u druge fajlove a štetu prave
tako što brišu ili mijenjaju fajlove na disku.
Kada bi preveli program od koga se virus sastoji na naš jezik, on bi izgledao ovako:
• Učitaj sebe u memoriju (kako bi postao samostalan program koji će biti aktivan sve dok ne isključite
kompjuter)
• Čekaj dok se ne pokrene neki drugi program
2
•
•
Dok čekaš, ometaj tastaturu (ovo je Dio koji pravi štetu)
Kada se novi program pokrene ubaci u njega cio ovaj program
Ovako recimo izgledao virus KeyPress koji je na našim prostorima bio veoma aktivan, sve dok se nije pojavio Windows.
Naravno, postoje virusi koji ne čekaju da se neki programi pokrenu da bi ih zarazio, već sami
pretražuju disk kako bi pronašli neki EXE fajl (program) i zarazili ga (ubacili svoj program u
program koji su našli). Dio koji pravi štetu isto tako može biti drugačiji, umjesto da ometaju
tastaturu, neki virusi brišu fajlove sa diska ili ometaju neke druge periferne djelove kompjutera kao
što su štampač ili monitor.
Pogledajmo sada kako sve to funkcioniše. Uzećemo jedan stariji primjer kad su se koristile diskete.
Tekst je i danas apsolutno aktuelan, samo umjesto disketa zamjenite sa USB memorijom:
Kompjuter od vašeg druga je zaražen nekim virusom. Taj drug vam je doneo novu igricu na jednoj disketi. Igricu je
naravno snimio sa svog kompjutera tako da ta igrica najverovatnije u sebi nosi virus. Vi ste tu igru pokrenuli na vašem
kompjuteru i virus je ušao u memoriju vašeg PCa. Kada ste se izigrali, pokrenuli ste recimo "Windows Explorer" i virus
je ubacio svoj program u njega. Posle ste pokrenuli verovatno još neke programe tako da je virus i njih zarazio.
Dovoljno je da se samo jedan program zarazi, jer će taj jedan, u slučaju da ste odmah posle pokretanja Explorera
isključili kompjuter, zaraziti druge programe kada ga pokrenete sutradan. Virus će u roku od samo nekoliko dana
zaraziti skoro sve programe na vašem kompjuteru. Davanje bilo kakvog programa sa vašeg kompjutera nekom drugom
vašem priljatelju će rezultirati infekcijom ostalih kompjutera.
Posljedicenapadavirusa
U pravilu, svaki program inficiran virusom već je u određenoj mjeri oštećen i potrebno ga je dovesti
u ispravno stanje. Ovo se dešava uvijek, bez obzira na to da li virus ima tkz. korisni teret i bez
obzira koja mu je namjera. Danas je sve veći trend izrade virusa koji pri infekciji jednostavno
prepišu dio koda napadnutog programa i na taj način nepopravljivo oštete napadnuti objekt.
Program zaražen virusom može griješiti u radu, virus koji se instalira u memoriju može izazvati
greške u radu drugih programa koji se instaliraju u memoriju ili može programima oduzeti
memoriju potrebni za rad. Mnogi pisci kompjutorski virusa uključuju u virus koristan teret, kod koji
je sposoban izvršiti neku zadaću kao što je npr. ispisivanje poruka, ometanje rada sistema, brisanje
određenih podataka, formatiranje diska ili korupcija podataka.
Blesave poruke, nemušte ljubavne izjave ili usamljeničke rođendanske čestitke - najmanji su
dodatni problem.
Nedestruktivno ometanje rada sistema, blokiranje kompjutora, usporenje rada - predstavljaju drugu
stepenicu.
Očigledno brisanje programa i podataka ili formatiranje diska, koliko je god nezgodno i štetno nije
najveći stupanj oštećenja, kako to mnogi misle. Ako se redovito provodi temeljito arhiviranje
podataka, već nakon kraćeg vremena kompjutor može biti ponovno osposobljen i spreman za rad.
Najgori mogući oblik štete je korupcija podataka, neprekidno i progresivno propadanje integriteta
ili tačnosti podataka.
Korupcija podataka može biti izazvana namjerno ili se javiti slučajno. Oštećene mogu biti baze
podataka, arhivi s programima i podacima, tekstualne datoteke i sl.
Slučajan oblik korupcije je kada virus greškom inficira tekstualnu datoteku. Datoteka će biti
oštećena, a virus u toj datoteci neće se moći razmnožavati.
Namjeran oblik korupcije je kada virus pregleda disk u potrazi za bazama podataka, te u nađenoj
nasumice izmjeni neki podatak. Ako korupcija traje dulje vrijeme doći će do nepopravljivih
posljedica.
Arhiviranje podataka nije dovoljna zaštita od korupcije podataka, jer ako ona ne bude otkrivena
tokom jednom jednog punog ciklusa arhiviranja, podaci će biti nepopravljivo oštećeni, budući da će
sve arhivske kopije sadržavati oštećene podatke.
Jedina zaštita od korupcije podataka je provjera njihovog integriteta, pri čemu nije dovoljno
provjeravati samo vanjski, već i unutrašnji integritet.
3
Podkategorijavirusa
Tempiranebombe
Tempirane bombe su specijalni slučajevi, ne izvršavaju se odmah, već
čekaju da se ispune neki uslov. Obično je to neki datum kada se oni
aktiviraju i kreću u pohod na Vašem računaru. (npr. čuveni W95.CIHChernobyl kada se prvi put pokrene mirno će praviti kopije samog sebe u svim
*.EXE fajlovima koje pokrenete na Vašem računaru, a kada dodje 26. u mesecu,
kreće u akciju, tj. kreće da prikazuje svoje štetno dejstvo na Vašem računaru).
Bootsektorvirusi
Boot sektor je dio diska koji sadrži kod za učitavanje operativnog sistema. Virus obriše sadržaj tog
sektora i umjesto programa za podizanje sistema snimi sebe. Ako se podigne sistem sa tako
zaraženog diska, virus se aktivira i učita se u RAM memoriju, odakle će zaraziti svaki disk koji se
od tog trenutka bude koristio (osim diskova na koje je zabranjeno snimanje –CD-ova, zaštićenih
fleš memorija i slično).
Makrovirus:
Virusi koji prave probleme korisnicima u Microsoft Office paketima su
najčešći. Često nemaju nikakvo destruktivno dejstvo ali mogu da iritiraju
korisnika. Šire se sa zaraženim dokumentima.
Pozicija virusa u MS Office fajlu zavisi od formata fajla, koji je u slučaju Microsoft-ovih proivoda
veoma složen. Svaki Word dokument, ili Excel tabela su sastavljeni od dijelova blokova podataka
(od kojih svaki ima sopstveni format) koji su priključeni/povezani/udruženi sa servisnim podacima.
Usled složenosti formata Word, Excel i Office fajlova, lakše je koristiti dijagram da bi se prikazalo
mesto macro virusa u takvom fajlu:
Neinficirani dokument
Inficirani dokument
File header
File header
Service data (directories, FAT)
Service data (directories, FAT)
Text
Text
Fonts
Fonts
Macros (if any)
Macros (if any)
Other data
Virus macros
Other data
Pri radu sa dokumentima i tabelama, MS Office obavlja mnogobrojne različite radnje: program
otvara dokument, snima ga, štampa, zatvara itd. MS Word će tražiti i pokretati odgovarajuće
ugrađene macro-e. Na primjer, korišćenje File/Save komande će pozvati FileSave macro,
File/SaveAs komanda će pozvati FileSaveAs macro, i tako redom, uvijek pretpostavljajući da je
takav macro definisan/konfigurisan.
Takođe postoje i auto macro-i, koji će automatski biti pozivani u određenim situacijama. Na
primjer, kada je dokument otvoren, MS Word će provjeriti dokument u smislu eventualnog
postojanja AutoOpen macro-a. Ako se macro pronađe, Word će ga pokrenuti. Kada se dokument
zatvara, Word će pokrenuti AutoClose, kada je Word pokrenut, program će pokrenuti AutoExec
macro itd. Ovi macro-i se izvršavaju automatski, bez ikakvog učešća korisnika, bilo da su macroi/funkcije koje su povezane sa određenim tasterom, ili sa određenim vrijemenom ili datumom.
Onda kad macro virus uspostavi kontrolu, prebaciće se na druge fajlove, obično na one koji se tog
trenutka uređuju. Mnogo rjeđe, virusi će pretraživati disk u potrazi za drugim fajlovima.
4
Enkriptiranivirusi:
Enkriptirani (šifrirani) virusi su virusi koji u radu mijenjaju svoj izgled i
vrlo teško se otkrivaju. Enkriptovani virusi u toku svake infekcije izvrše
promjenu svog koda (zadrže svojstva, ali promjene redosljed i vrstu
operacija koje izvršavaju).
Polimorfnivirusi:
Enkriptovani virusi se mogu ipak lako otkriti pomoću jednostavnih
metoda (traženjem karakterističnog niza bajtova - virusnog potpisa). No
postoje i oni koji u radu mijenjaju kompletan izgled, tako da ih je teško ili
nemoguće otkriti tehnikama potrage karakterističnog zapisa.
Stealthvirus:
Postoje i pametni virusi skloni sakrivanju. Takav se virus zna sakriti u
memoriji i izbrisati tragove svog prisustva na disku, tako da ga program
za otkrivanje virusa ne može pronaći ukoliko nema aktivnu opciju za
pretraživanje memorije.
Retrovirus:
Antivirusni softver napada viruse, retro virus uzvraća udarac - on napada
antivirusni program, oštećujući datoteke s popisom virusa i same
programe.
Script virusi
Script virusi su podgrupa virusnih fajlova, pisanih različitim script jezicima (VBS, JavaScript,
BAT, PHP itd.). Oni ili inficiraju druge script-ove, npr. Windows ili Linux komande i servisni
fajlove, ili čine dio multikomponentnih virusa.
Script virusi mogu da zaraze i druge formate fajlova, kao što je HTML, ukoliko format fajla dopušta
izvršenje script-a.
Naravno, jedan virus, po svojim karakteristikama, može da pripada u više kategorija,
ne samo u jednu.
Kako se virusi šire?
neko vam je poslao mejl sa zaraženim fajlom
putem CD-a ili fleš diska na kome se nalazi neki fajl zarazen virusom.(u slučaju da
izvrsite/pokrenete taj fajl)
downloadovali ste zaražen fajl ... i na još što neotkrivenih načina
5
Crv(Worm)
Crv" je dio softvera koji gmiže kroz računarski sistem ili kroz mrežu računarskih sistema,
manipulišući, mijenjajući ili uništavajući podatke i/ili programske kodove gdje god dobije pristup.
"Crv" se ne replikuje nego se kreće izazivajući štetu na svom putu. Čak i ako neki analitičar
otkrije njegovo prisustvo, "Crv" može da izbjegne hvatanje. Mnogi virusi imaju "crve" ugrađene u
sebi.
Računarski crv je program koji se sam replicira, tj. kopira na više mesta. Najčešće koristi
računarsku lokalnu mrežu kako bi poslao svoje kopije na druge računare, i to vrši bez ikakvog
znanja korisnika. Za razliku od virusa, nije potrebo da se veže za neki poseban program. Crvi
najčešće nanesu bar neku manju štetu mreži na kojoj se nalaze, bilo da je u pitanju upotreba
Interneta i trošenje protoka, dok virusi, opet za razliku od crva, najčešće oštećuju programe ili
sistem na zaraženom računaru
Klasični virusi danas su zapravo rijetki. Današnji korisnici uglavnom se susreću sa crvima. Crvi su
maliciozni programi koji se šire računarnim mrežama i računarima, a da pritom ne inficiraju druge
programe. Ovdje vidimo osnovnu razliku između virusa i crva, a to je da crvi nemaju prvu i
obaveznu komponentu virusa, mogućnost infekcije programa.
Crv ne mora da se transportuje sakriven unutar nekog drugog fajla, već može biti maskiran kao program
koji na prvi pogled radi nešto korisno - npr. čuveni Happy99 prilikom pokretanja izbaci prozor u kome se
prikazuje vatromet, ali u pozadini stvori nekoliko fajlova i izmjeni nekoliko drugih tako da se prilikom slanja
e-maila na istu adresu posalje i jedna kopija virusa.
Crv je potklasa virusa. Crv se obično širi bez pomoći korisnika i sam distribuira sopstvene potpune kopije
(možda izmenjene) širom mreža. Crv može da zauzme memoriju ili propusni opseg mreže toliko da računar
prestane da reaguje.
Pošto crvima nije potreban „program-domaćin“ ili datoteka da bi putovali, oni takođe mogu da se krišom
uvuku u vaš sistem i omoguće nekome drugome da daljinski kontroliše vaš računar.
Za crve je karakteristično da jednom kada se nađu na Vašem računaru, počinju da samostalno - bez
Vašeg znanja šalju mailove u kojima su njihove kopije.Takođe crvi mogu i da rade druge stvari, da
pokupe sve šifre koje se nalaze zapisane na vašm računaru (šifre e-mail računa, provajdera...)
Crvi se upisuju u registry i pokretaće se prilikom svakog sljedećeg uključenja računara.
Načešći oblici u kojima se šalju crvi:
• u obliku izvršnih programa .EXE, .COM, .BAT,
• u obliku skriptova .SCR, .PIF, .VBA, .VBS (Visual Basic Script),
• u obliku makroa .DOC.
• Neki crvi koriste propuste u Microsoftovim mail programima i omogućavaju sebi pokretanje
prilikom pristizanja u INBOX., tako da ih nije potrebno ni pokretati iz attachmenta.
Crvi mogu biti klasifikovani prema metodi širenja koju koriste, na primer, kako isporučuju svoju
kopiju novozaraženom kompjuteru, mogu biti klasifikovani i prema načinu instalacije, načinu
pokretanja i najzad, prema osobinama uobičajenim za sve štetne programe: polimorfizam,
nevidljivost itd.
Emailcrvi
Email crvi se šire preko zaraženih email poruka. Crv može biti u obliku atačmenta ili pak, email
može sadržati link ka zaraženom sajtu. U oba slučaja, email je transportno sredstvo.
U prvom slučaju crv će biti aktiviran kada korisnik klikne na atačment. U drugom slučaju crv će biti
aktiviran kada korisnik klikne na link koji vodi ka zaraženom sajtu.
Email crvi koriste jedan od sljedećih metoda za širenje:
Direktna konekcija ka SMTP serverima korišćenjem SMTP API biblioteke kodirane unutar crva
MS Outlook servise
Windows MAPI funkcije
Email crvi sakupljaju email adrese sa zaraženog računara kako bi se kasnije širili. Za to koriste
jednu od sljedećih tehnika:
6
Skeniranje MS Outlook adresara
Skeniranje WAB baze podataka (adresara Windows Address Book)
Skeniranje fajlova sa odgovarajućim ekstenzijama u potrazi za nizom tekstualnih podataka nalik
email adresama
Slanje svojih kopija na sve email adrese iz korisnikovog poštanskog sandučeta (crvi čak mogu da
"odgovore" na neotvorene mail-ove u inbox-u)
Dok se ove tehnike smatraju uobičajenim, neki crvi konstruišu nove adrese zasnovane na listi
mogućih imena kombinovanih sa uobičajenim imenima domena.
Kratkeporuke(ICQiMSN)crvi
Ovi crvi imaju jedan metod širenja. Oni se šire korišćenjem aplikacija za slanje kratkih poruka,
šaljući linkove ka zaraženim sajtovima svima na određenoj listi kontakata.
Jedina razilka između ovih crva i email crva koji šalju linkove je medij izabran za slanje linkova ovi koriste messengere.
Tipičniinternetcrvi
Tvorci virusa koriste drugačije tehnike za distribuciju kompjuterskih crva, uključujući:
Kopiranje crva na mrežne resurse
Iskorišćavanje ranjivosti operativnog sistema radi ulaska u kompjuter i/ili mreže
Ulaženje u javne mreže
Piggybacking: korišćenje drugog štetnog programa kao nosioca crva.
U prvom slučaju, crv locira udaljene kompjutere i kopira se u direktorijume koji su otvoreni za
sharing funkcije čitanja i pisanja. Ovi mrežni crvi pretražuju sve dostupne mrežne resurse koristeći
lokalni operativni sistem i/ili pretražuju internet tražeći ranjive kompjutere. Oni će pokušati da se
konektuju na ovakve kompjutere i ostvare potpun pristup njima.
U drugom slučaju, crvi pretražuju internet u potrazi za kompjuterima koji nemaju instalirane
zakrpe, primera radi, ima operativnih sistema sa opasnim ranjivostima koji su još i otvoreni za
iskorišćavanje. Crv šalje paket podataka ili zahteva koji iskorišćavaju propust i instaliraju ili celo
telo crva ili deo izvornog koda crva koji raspolaže download funkcijom. Ako je samo deo koda
instaliran onda crv pokreće download funkciju i preuzima ostatak crva. U svakom slučaju, jednom
kada je crv instaliran, on će izvršiti svoj kod i ciklus se nastavlja.
Crvi koji koriste propuste na Web ili FTP serverima potpadaju u odvojene kategorije. Infekcija je
proces u dva koraka. Ovi crvi najpre ulaze u fajlove koje server servira, kao što su statične web
strane. Onda crvi čekaju da klijent pristupi zaraženim fajlovima i napadaju određeni kompjuter.
Ovako zaraženi kompjuteri se tada koriste kao podloga za buduće napade.
Neki pisci virusa koriste crve ili Trojance kako bi širili nove crve. Oni najpre identifikuju Trojance
ili crve koji imaju instalirane backdoor-ove na zaraženim kompjuterima. U većini slučajeva ovo
omogućava onom ko upravlja procesom da šalje komande zaraženom kompjuteru: takvim zombi
uređajima koji imaju instaliran backdoor može se narediti da preuzmu (download-uju) i izvrše
fajlove - u ovom slučaju kopije novog crva.
Mnogi crvi koriste kombinaciju dve ili više metoda za širenje, u nastojanju da što uspešnije uđu u
kompjutere koje će onda zaraziti.
IRCcrvi
Meta ovih crva su kanali za četovanje (chat).
IRC crvi takođe koriste metode širenja koje su nabrojane u tekstu iznad - slanje linkova ka
zaraženim sajtovima ili zaražene fajlove kontaktima pronađenim na zaraženom računaru. Slanje
zaraženih fajlova je manje delotvorno utoliko što primalac mora da potvrdi prijem, sačuva fajl i
otvori ga i tek time omogući crvu ulazak u ciljani kompjuter.
File‐sharingmrežeiliP2Pcrvi
P2P crvi se kopiraju u direktorijume koje korisnik deli sa drugima (shared folder), obično smeštene
na računar korisnika. Onda kada crv smesti svoju kopiju pod, naizgled, bezopasnim imenom u
7
direktorijum čiji se sadržaj deli sa drugima, P2P mreža je "osvojena": mreža obaveštava druge
korisnike o novim resursima i obezbeđuje infrastrukturu za preuzimanje (download) i izvršenje
zaraženog fajla.
Složeniji P2P crvi oponašaju mrežni protokol određenih 'file-sharing' mreža: oni potvrdno
odgovaraju na sve zahteve i nude svoju kopiju kao traženi fajl.
Trojanci
Programi koji kada dospije u računar i pokrene se omogućava pristup Vašem računaru sa Interneta.
Znači da neko ko zna da je na Vašem računaru pokrenut trojanca (a možda Vam ga je i sam poslao)
može vrlo lako da pristupa podacima na Vašem računaru.
Program koji se razmnožava (pravi kopije samog sebe) je mogući virus; sve što se
ne razmnožava nije virus (trojanci nisu virusi)!
Trojanci se najčesće ne šire kao virusi (mada mogu ići u "paketu" sa nekim virusima/crvima), nego
se ciljno šalju/instaliraju na određeni računar. Oni tamo čekaju i igraju ulogu servera na
zaraženom računaru i nude pristup onome ko vam ga je poslao.
Trojanci su svoje ime dobili prema čuvenom konju iz epa o opsadi Troje, koju su Grci bezuspješno napadali
10 godina i na kraju se povukli ostavljajući pred njenim ulazom ogromnog konja kao znak priznavanja
poraza. Trojanski ratnici, oduševljeni pobjedom, uvukli su konja unutar grada i posvetili su se proslavljanju
svoje velike pobede. Medjutim, kada su svi zaspali pijani, na konju su se otvorila dobro skrivana vratanca i
iz njega je izasao odred grckih ratnika koji je otvorio vrata tvrdjave pustajuci unutra ostale Grke, koji su
povlacenje inscenirali i cekali na taj trenutak. Nakon toga, Troju su veoma lako zauzeli.
Na isti način danas je moguće ući u tuđi kompjuter, uzeti potrebne fajlove, tudje Internet-sifre i slicno.
Jednom rječju – moguće je da neko operiše po vašem kompjuteru kao da sedi za njim uz pomoć programa
koji se naziva "Trojanac" (Trojanski konj).
Trojanci se najčešće koriste za krađu lozinki ili za omogućavanje pristupa udaljenom računaru
preko Interneta (dok surfujete odjednom shvatate da nemate kontrolu nad računarom - ne odgovara
na komande sa tastature, klikovi misem ne pomazu, i kada se konacno setite da ga ugasite, nakon
ponovnog paljenja shvatate da vam je pola hard diska obrisano...). Uglavnom ćete ih dobiti preko emaila, koji vam je poslao neki vaš "poznanik" sa mreže, i koji ce vas ubeđivati da ga instalirate jer
će vam taj program navodno ubrzati vezu sa provajderom ili nesto slično. Trojanac omogućava toj
osobi da preko njega (trojanca) pristupi zaraženom disku (što znači da onaj ko je ubacio trojanca
može da čita/piše/briše/mijenja fajlove na zaraženom kompjuteru) ili čak dobije pun pristup
cjelokupnoj memoriji zaraženog kompjutera, što znači da može da, na primjer, ugasi zaraženi
kompjuter ili ga iskoristi za napad na neki drugi kompjuter.
Kakoseubacujutrojanci?
Moguća su dva načina:
• da neko neovlašćeno pristupi i sjedne za vaš kompjuter i ubaci trojanca;
• preko interneta - ako vam pošalje e-mail koji sadrzi fajl (koji je u stvari trojanac) i u kojem
vas moli da startujete program koji ste dobili; osim toga, može da vam pošalje neku igru,
sliku i slično.
Ovo važi i za ICQ, i uopšte za sve programe koji služe za komunikaciju preko Interneta.
Vrstetrojanaca
Dropper - služi za naseljavanje računarskog virusa u napadnti računar. Dropper igra ulogu žrtve,
namjerno omogućujući virusu da se naseli u računalo.
Backdoor ("stražnja vrata") – naziv za različite postupke ili programe koji omogućuju drugom
korisniku da se služi žrtvinim računarom dok je spojen na Internet, a da on to ne zna. Uopšte,
8
„stražnja vrata“ iskorištavaju sigurnosne propuste („rupe“) u računarskom sistemu. Nerijetko se
trojanac i backdoor koriste zajedno: žrtva pokrene program za koji misli da je koristan (npr.
download manager ili igra) i dok ga koristi, trojanac ubaci backdoor u računar.
Downloader - trojanski konj koji pristupa različitim internetskim stranicama kako bi s njih
skinuo, obično maliciozne, datoteke te ih na kraju i pokrenuo
Zaštitaodtrojanaca
•
•
Univerzalno pravilo zastite od trojanaca - nemojte da otvarate ni jedan fajl koji vam stigne
uz e-mail ili ICQ, a koji vi niste trazili. Samo fajlove za koje ste se prethodno dogovorili da
vam ih pošalju mozete da otvarate!
ZASTITA PREKO START UP-a, DIREKTORY KATALOGA ili PROGRAMA
"MSCOFING"
Svaki Back Door trojanac se prijavi u Start Up Windows.
Da bi vidjeli koji su programi setovani u Start Up-u, pritisnite Start, kliknite na Run, ukucajte
MSCONFIG i pritisnite OK
Kada se MSCONFIG startuje pritisnite jezicak Start Up.
Pred vama je spisak programa koji su podešeni da se pokrenu uvijek kada se Windows podigne.
Ne bi bilo loše da imena programa zapišete negdje da bi poslije lakše primjetili razliku.
Ako primjetite neko sumnjivo ime kao što je EXPLORER.EXE, PICTURE.EXE, ime programa u
kojeg sumnjate (Trojanca Kuang2.c su slali kao Setup.exe koji se nalazio u fajlu fprot.zip, dakle
provjerite da li se nalazi fajl Setup.exe u tom spisku) ili neko drugo ime za koje ste sigurni da nije
usluzni program, isključite ga (tj. izbrisite ga ako koristite REGEDIT).
Sva sumnjiva imena programa vam preporučujemo da isključite. Ostavite samo ono u šta ste sigurni
da vam treba. Ukoliko Windows zahtjeva neke programe, vratite se u MSCONFIG i uključite ih.
SysTray, LoadPowerProfile, ScanRegistry i TaskMonitor ne dirajte!
Najbolje je da prije startovanja sumnjivih programa opet zapišete sva imena fajlova u Start Up-u,
pokrenete program, a zatim uporedite Start Up prije i poslije startovanja sumnjivog programa. Ako
se pojavi neko novo ime u Start Up-u znači da je u pitanju trojanac, pa ga zato isključite, time
rješavate sve.
9
Osnovnapravilazaštiteodvirusa,crvaitrojanaca
Načinotkrivanjamete
Kako hakeri i crvi pronalaze žrtve?
Skeniranje - označava testiranje raspona adresa da se indefiticiraju ranjivi računari. Postoje dvije varijante
skeniranja, sekvencijalna ili slučajna. Zbog svoje jednostavnosti to je vrlo čest način širenja crva. Ovo nije
jako brz način širenja, ali kod crva sa automatskom aktivacijom širenje može biti vrlo brzo, za što je primjer
Blaster ili Code Red I crv. Skeniranjem crv uzrokuje puno abnormalnog mrežnog saobraćaja pa ga se po
tome može prepoznati.
Prije generirana lista adresa - napadač može napraviti listu adresa prije lansiranja crva na kojima bi bile
vjerojatne žrtve. Mala lista bi se mogla iskoristiti za ubrzavanje skenirajućeg crva, a stvaranjem velike liste
dobivamo nevjerojatno brzog crva, koji može u nekoliko minuta zaraziti milione računara. Takav crv osim u
laboratorijskim uvjetima još nije napravljen.
Vanjski generirana lista adresa - Vanjski generisana lista je ona koju održava neki nezavisni server.
Serveri koji imaju popis adresa drugih servera nazivaju se metaserveri. Najbolji primjer za to je servis
Gamespy koji održava listu pokrenutih servera nekih od najpopularnijih mrežnih igra današnjice, a kada
pogledamo koliko ljudi se igra na internetu dobivamo ogromne liste adresa. Ova tehnika bi se mogla
iskoristiti i na pretraživačima, jer npr. Google ima listu većine web servera na svijetu. Metaserver crvi još
uvijek nisu primjećeni na slobodi, ali rizik je velik zbog velike brzine širenja koju bi crv mogao postići.
Interna lista adresa - Mnoge aplikacije na računaru sadrže informacije o IP ili e-mail adresama drugih
računara. Nakon što crv zarazi računar, pretraži neke najčešće aplikacije u potrazi za adresama i šalje se na
na njih. To često viđamo kod novijih crva koji pretražuju adresar u Outlooku i šalju se na sve e-mail adrese
koje pronađu. Ove crve je teško otkriti skeniranjem mrežnog saobraćaja jer crv na računaru nalazi adrese
računara s kojima se ionako komunicira pa dodatni mrežni saobraćaj nije sumljiv.
Pasivni - Pasivni crv ne traži adrese računara žrtve, već čeka da se žrtva javi ili se oslanja na korisnika koji
mu otkriva nove mete, naprimjer surfanjem po internetu. Gnuman crv se pretstavlja kao Gnutella čvor, koji
se koristi za distribuiranu izmjenu podataka (većinom muzike i filmova) na internetu. Kada se žrtva javi sa
zahtjevom za određenom datotekom crv šalje sebe. Iako potencijalno spori, pasivni crvi ne proizvode
abnormalni mrežni saobraćaj pa ih je teško otkriti.
Odbrana
Kako se branimo od napada hakera?
1. Treba skenirati svaki program pre nego što ga startujete.
2. Treba skenirati svaki e-mail ili fajl koji vam stigne preko ICQ ili MiRca pre nego što ga
otvorite ma od koga on dolazio, jer mozda vas prijatelj i nezna da mu je računar zarazen.
3. Ne posećujte sajtove cije adrese dobijete od nepoznatih osoba.
4. Treba uvijek imati noviji Antivirus koji otkriva viruse u"real time" pre nego što se oni
kopiraju na vaš disk, bez razlike da li su oni kompresovani, ugradjeni i sl.
5. Treba redovno updatovati vaš Antivirus kako bi ga snabdjeli informacijama o novim
virusima i trojancima
6. Obavezno koristiti Firewall
7. Obavezno koristiti Directory Catalog
8. Vrsite enkripciju vasih dadoteka kako bi spriječili njihovu neovlašćenu upotrebu.
9. Postavite i koristite password-e za ulazak u dadoteke.
10. Ne dozvolite da fajlove na vašem kompjuteru unosi niko osim vas.
11. Koristite legitimne softvere jer se unutar nelegitimnih softvera mogu nalaziti sigurnosne
rupe koje mogu da omoguće upad u vas računar.
12. Redovno ažurirajte softver (instalirajte sevis pakove). Ovo važi i za najaktuelnije verzije
softvera; svaka nova verzija u sebi ima poboljšanje a što se tiče nenamjernih sigurnosnih
rupa, one su u svakoj novoj verziji detektovane i ispravljene. Zato je važno jednom
mjesečno ići na "Windows Update" kao i ostalih softvera koje koristite.
10
Kojiantivirusdakoristim?
Anti-virus program se sastoji od nekoliko računarskih programa koji pokušavaju pronaći, spriječiti
i ukloniti računarske viruse i ostali maliciozni softver (malware).
Anti-virus program obično koristi dvije tehnike da bi postigao svoju funkcionalnost:
• Provjera (skeniranje) datoteka tražeći poznate viruse provjerom definicija u rječniku virusa
• Identifikacijom sumnjivog ponašanja od strane kompjuterskog programa, koji bi moglo
indicirati infekciju. Takve analize obuhvataju analizu podataka, monitorisanje portova i
druge metode.
Većina komercijalnih anti-virus programa koristi oba pristupa, sa naglaskom na metod provjere
poznatih virusa u bszi sa definicijama poznatih virusa (koja je poznata i pod imenom rječnik
virusa).
Uloga AV je da spriječi infekciju fajlova na vašem računaru i očisti zaražene fajlove.
Svaki AV program posjeduje bazu sa definicijama poznetih virusa i sa njima upoređuje fajlove
na vašem računaru i traži sličnost.
Pošto se novi maliciozni programi pišu svakodnjevno IZUZETNO je VAŽNO da što češće ažurirate
(updejtujete) vaš AV program, odnosno, skidate nove definicije virusa sa sajta Proizvođjača vašeg
AV programa.
Većina AntiVirus programa ima opciju automatic update,koju bi trebali da čekirate ako već nije.
Na pitanje koji AV da koristite je teško odgovoriti i svaki korisnik će vam preporučiti svoj sa
savetom da je on "najbolji".
AV vrijedi onoliko koliko su mu nove definicije.
Proizvođjača AV je mnogo evo "najpopularnijih":
www.kaspersky.com
www.mcafee.com
www.symantec.com
www.trendmicro.com
www.sophos.com
www.pandasoftware.com
www.nod32.com
-
Kaspersky
McAfee
Norton
PC-cillin
Sophos
Panda
NOD32
-
Antivirus
Antivirus
Antivirus
Antivirus
Antivirus
Antivirus
Antivirus
Važno je napomenuti da vam nije potrebno dva ili više AV na vašem računaru, to je bespotrebno
trošenje resursa, jedan je sasvim dovoljan.
Antivirusnemetode
Skeneri
Princip rada antivirus skenera bazira se na provjeravanju datoteka, sektora i sistemske
memorije u potrazi za poznatim i nepoznatim malicioznim kodom. Potraga za poznatim virusima
naziva se maskiranje (masking). Virus ''maska'' je specifični dio koda sadržan u virusu. Ako neka
datoteka ne sadrži masku (taj dio koda) ili je veličina maske nedovoljna, koriste se druge metode za
pronalaženje virusa.
Heurističko skeniranje je analiza dijela instrukcija u kodu datoteka koje se provjeravaju, za koje
Pošto ji mogućnost da je maliciozni kod. Na ovaj način pronalaze se još uvijek neotkriveni virusi.
Skeneri se dijele u dvije kategorije: opšti (general) i specijalni (special).
11
Generalni skeneri su dizajnirani da pronađu i onemoguće sve vrste virusa za određeni tip
operativnog sistema dok specijalni pronalaze ograničen broj virusa ili određene tipove virusa,
recimo makro viruse.
Skeneri se još dijele na rezidentne i nerezidentne (provjeravaju sistem samo ako se to traži od njih).
Rezidentni pružaju sistemu bolju zaštitu, jer reaguju odmah po pojavi virusa, dok nerezidentni
detektuju virus tek kad bude pokrenut.
CRCskeneri
CRC skeneri djeluju tako što kalkulišu sa CRC sumama za tekući disk, datoteku ili sistem sektora.
CRC sume sadrže bazu podataka sa podacima kao što su veličina datoteka, datum i sl. Oni
upoređuju informaciju sa bazom i kontrolišu vrijednosti. Ako su podaci u bazi različiti od onih koje
je skener pronašao, ukazuje na mogućnost postojanja virusa na računaru.
CRC skeneri koriste moćne anti – stealth algoritme u borbi protiv virusa i često se zna desiti da
virusi mogu biti detektovani samo ovom metodom. Problem kod ove vrste skenera je što ne mogu
registrovati postojanje virusa u trenutku inficiranja sistema, jer još uvijek nisu napravljene potrebne
izmjene u sis datotekama. CRC skeneri ne mogu detektovati postojanje virusa u pristiglim
datotekama, kao što su e-mail, diskete, vraćene backup datoteke, raspakovane arhive i sl., jer
njihova baza nema podatke o njima.
Blokeridogađaja–BEHAVIOURBLOCKERS
Anti – virus blokeri događaja su memorijski rezidentni programi koji ''osluškuju'' reakciju virusa i
obavještavaju o tome korisnika. Takve informacije mogu se dogoditi za vrijeme pokretanja izvršnih
datoteka, zapisivanje u Boot sektor diskova ...
Dobra osobina blokera je što zaustavljaju izvršavanje virusa u trenutku infekcije, a loša je što vrlo
često griješe.
Imunizatori
Dijele se u dva tipa: one koji upozoravaju na infekciju i one što blokiraju pokušaj virusa da se
inflitrira u sistem.
Prvi tip se i sam ponaša kao virus, tako što se dodaje na kraj datoteke i pri svakom njenom
pokretanju provjerava izmjene. To uradi samo jedanput.
Drugi tip ove metode štiti sistem na način da mjenja datoteke i ipraktično uvjerava virus da su te
datoteke zaražene. Za zaštitu od rezidentnih virusa koristi se mali TRS (rezidentni) program koji je
ubačen u memoriju računara. On također nastoji uvjeriti virus (ako pokuša pristupiti memoriji), da
je memorija već zaražena. Ova metoda nije potpuno pouzdana, jer je nemoguće zaštititi sve
datoteke od svih mogućih virusa.
Kakopočeti,kakosekoristiAVprogram?
Većina AV programi rade slicno ako ne i isto.
Nabavite neki AV program, pokrenete instalaciju, ponudice vam opciju skeniranja vaseg računara
pre instalacije, uradite to zbog mogućih virusa koji bi se "protivili" instalaciji AV programa.
Dakle instalirate program i prvo treba da uradite update.To mozete tako što će te otici na sajt
Proizvođjača vaseg AV programa i skinuti nove definicije(u ovom slučaju symantec).
Drugi i mnogo lakši i efikasniji način je da koristite up-date opciju u samom Av programu, (u
Nortonu se dugme nalazi gore-lijevo i zove se liveupdate. U ovom slučaju biće potrebno da se
registrujete na sajt Proizvođjača; samo prvi put).
Kada ste update-ovali vas AV sada izaberite Full System Scan vašeg računara i čekajte, kad završi
skeniranje ako nije našao ništa budite srećni, ako je našao neke zaražene fajlove on će ih
očistiti/obrisati/staviti u karantin.
12
Uglavnom ih je uklonio sa vašeg računara i sad uživajte. Eventualno ih možete obrisati iz karantina,
tamo su van pristupa vašem računaru/sistemu, kad ih obrisete neće ni tamo postojati.
Ako je vaš AV detektovao neki virus ali ne može da ga obriše, probajte prvo da isključite System
Restore na vašem Windowsu pa probajte ponovo ako opet ne uspije, resetujte windows, pokrenite
ga u safemodu i pokrenite vas AV, onda će ga vjerovatno obrisati.
Načinpretrageuzpomoćrječnikavirusa
U ovom pristupu, anti-virus program provjera datoteku upoređujući je sa rječnikom (bazom)
poznatih virusa koje su tvorci anti-virus programa identifikovali. Ako dio koda datoteka odgovara
virus identifikaciju u riječniku, takav anti-virus program može poduzeti jednu od sljedećih akcija:
1. pokušati popraviti datoteku uklanjajući virus unutar datoteke
2. staviti datoteku u karantin (tako da je datoteka nedostupna drugim programima i virus se ne
može dalje širiti)
3. obrisati inficiranu datoteku
Da bi ovaj pristup bio efikasan u dužem i kraćem vrijemenskom periodu, rječnik virusa se
periodično (uglavnom online) preuzima sa novim definicijama virusa.
Anti-virus programi bazirani na rječniku virusa tipično analziraju datoteku kada je operativni sistem
računara kreira, otvori, zatvori ili pošalje u vidu e-mail poruke. Na ovaj način moguće je detektovati
virus odmah po njegovom primanju. Također treba napomenuti da je moguće odrediti vrijeme kada
anti-virus program treba provjeriti (skenirati) sve datoteke na korisnikovom hard disku.
Iako ovaj pristup spriječava masovno širenje virusa u normalnim uslova, autori virusa pokušavaju
biti korak ispred pišući oligomorfne, polimorfne i, metamorfne viruse, koji kodiraju dio svoga koda,
ili na neki drugi način sebe modifikuje kao metod sakrivanja. Na ovaj način anti-virus programi ne
mogu naći njihovu oznaku u rječniku virusa.
Detekcijasumnjivogponašanja
Pristup detekcijom sumnjivog ponašanja ne pokušava identifikovati poznate viruse, nego prati
ponašanje svih programa. Ako jedan program pokušava da zapiše nešto u izvršni program, na
primjer, anti-virus program možete označiti ovaj program kao sumnjiv i obavijestiti korisnika, te ga
pitati šta želi učiniti.
Za razliku od pristupa pretrage rječnika virusa, pristup detekcije sumnjivog ponašanja dakle nudi
zaštitu i od najnovijih vrsta virusa koji još nisu u rječniku virusa. Međutim, ovaj pristup šalje puno
upozorenja, i vrijemenom korisnik postane indeferentan na silna upozorenja. Ako korisnik prihvati
svako upozorenje jasno da je da anti-virus program ne nudi nikakve beneficije korisniku. Ovaj
problem se pogoršao od 1997, zbog činjenice da sve više ne malicioznih programa mijenja druge
.exe datoteka. S obzirom na rečeno, ovaj pristup u anti-virus programima se sve manje i manje
korisiti.
Drugipristupidetekcijivirusa
Neki anti-virus programi će pokušati emulirati početak koda svakog programa kojeg sistem pokrene
prije prebacivanja kontrole tom programu. Ako program koristi samo-modifikujući kod ili na neki
drugi način izgleda kao virus (ako npr. pokušava odmah da nađe druge programe), može se
pretpostaviti da je virus inficirao taj program.
Međutim, ovaj metod za rezultat ima mnogo lažnih uzbuna.
13
Štajefirewall?
Firewall je program koji kontrolise pristup svim programa koji "izlaze" na internet i svih
zahtjeva/informacija koji dolaze sa interneta.
Zamislite ga kao tunel kroz koji moraju da prodju svi koji
odlaze i svi koji dolaze a vi imate mogućnost da nekome
zabranite dolazak a nekome odlazak.
Antivirusi nisu savršeni; otkrivaju viruse i trojance
prizvodjac Antivirusa uspeo da nabavi i da analizira,
novi ili domaći trojanci (koje uopšte nije teško
zahvaljujuci sve jezicima kao što su VisualBasic ili
mogu da prođu i pored Antivirusa a da ih on ne otkrije.
koje je
tako da
napisati
Delphi)
Onog trenutka kada se poruka "Veryfing User Name and Password" ukloni sa ekrana i počne da teče vrijeme na Internetu, vaš
provajder vam je dodjelio jedinstvenu adresu koju u tom trenutku imate samo vi na Internetu i niko drugi - to je tzv. IP adresa ili
niz od 4 broja izmedju 0 i 255 razdvojenih tačkom (npr. 213.240.4.100). Pošto je računari koji su stalno na Internetu (24h) oni
imaju svoju IP adresu koja se ne mijenja, ali ostali dobijaju tzv. dinamičku IP adresu (svaki provajder ih ima nekoliko i kada se
neko prikači dobije prvu slobodnu). Ove adrese (odnosno brojevi) vam mogu pomoći da identifikujete sagovornika, jer se za one
stalne tačno zna kome pripadaju dok se za dinamičke vodi evidencija kod provajdera kome su bile dodeljene u određenom
trenutku. Kada zelite da pristupite nekom računaru, sve što je potrebno je da otkucate njegovu adresu, ali da bi nam prekratili
muke, uvedeni su tzv. DNS (Domain Name Server) računari koji prevode adrese tipa www.zastita.rs u IP adresu i obrnuto. Sama
adresa nije dovoljna, jer je potrebno obezbediti posebne kanale za komunikaciju kako ne bi došlo do zabune. Zbog toga su
uvedeni portovi - zamislite ih kao autoput na ulazu u grad sa 65536 traka i dva računara se uvijek dogovoraju kojim će se
trakama odvijati saobraćaj. Pošto je standardizacija uvijek poželjna, portovi sa brojevima manjim od 1024 su rezervisani i
imaju specijalnu namjenu (znači samo za posebna "vozila") dok su oni preostali namijenjeni korisnicima. Tako npr. kada skidate
neke fajlove sa ftp servera, vas računar će dotičnom slati sve komande samo na port 21, a dotični će ih samo tamo i očekivati;
fajlovi će pristizati na neki proizvoljni port na vašem računaru (sa brojem većim od 1024) - ponekad i na više odjednom. To
objašnjava kako je moguće istovremeno surfovati na tri stranice, skidati nekoliko fajlova, slati i primati postu i chatovati.
Problem je što vi sa Windowsom nemate nikakvu kontrolu nad saobraćajem preko portova - podaci ulaze i izlaze a vi nemate
pojma ni odakle su dosli ni gdje idu (niste uopšte ni svesni da nesto "ide").
Zato je potrebno postaviti "naplatnu rampu" i "saobraćajce" - a to je upravo firewall. Sve što stize sa Interneta (ili lokalne mreže)
ili odlazi sa vaseg računara, prolazi preko firewalla i dotični program odlučuje (uz vasu pomoć) da li će to smeti da prođe ili ne.
A zašto je to bitno? Zato što je Internet prepun ljudi kojima treba upravo nesto što vi imate na vašem računaru (sifra za pristup
Internetu, broj kreditne kartice i sl.) i koji će iskoristiti vasu nepaznju i uci kroz otvorena "vrata" (port) i pokupiti to što im treba.
Nekima je opet najveca zabava u zivotu da takvim nepazljivim ljudima obrisu sve na računaru ili urade neku slicnu podlost. A
kako oni znaju da li su neka vrata otvorena i koja su to od onih 65536? Jedan način je da u vas računar ubace virus ili trojanskog
konja (preko e-maila, pomoću programa u koje je zamaskiran uljez ili licno instalirajuci program na vašem računaru) koji će
otvoriti neki unapred određeni port (trenutno su popularni trojanci koji otvaraju port sa brojem 1243). Sve što zatim preostaje
dotičnom lameru je da krene da adresira sve računare kod nekog provajdera (rekli smo da svaki provajder ima nekoliko IP adresa
koje dodeljuje svojim korisnicima a lameri znaju u kom se opsegu kreću te adrese) i da uz pomoć odgovarajućeg softwarea
provjeri da li je taj port otvoren. To se naziva TCP Port Scaning i uglavnom nije štetno po vas računar (naravno - ako nemate
trojanca i imate firewall). Drugi način je da pokuša na silu da upadne kroz neki od portova - to se naziva Denial of Service attack
(skraćeno DoS attack) ili "Buffer Overflow". Radi se o tome da je neke programe moguće toliko zbuniti suvise velikim
podatkom ili dovoljnim brojem ponavljanja neke instrukcije da se on jednostavno srusi i sa sobom povuče cio Windows, ili da
počne da izvršava neke instrukcije koje inače ne bi sproveo u "normalnom" stanju. U takve programe spadaju i vaši browseri,
programi za poštu, chat i mnogi drugi.
Windows često neće odoljeti napadima na neki port sa brojem ispod 1024 i tako će se vas računar, htjeli vi to ili ne, pretvoriti u
ftp, POP3, telnet ili neki drugi server koji je u sluzbi dotičnog lamera. Svaki dobar firewall će prepoznati bilo koji od opisanih
napada i spriječiti napadaca da bilo sta preduzme (neće mu dozvoliti pristup preko određenog porta iako je ovaj otvoren).
Glavni problem prilikom korišćenja firewalla je prepoznati da li je dotična IP adresa prijateljska ili ne, da li je port koji se upravo
otvorio pod kontrolom nekog virusa ili to vas browser uspostavlja komunikaciju sa HTTP serverom i sl.
Neki firewali to odrade automatski i preduzmu odgovarajuće akcije ako se radi o napadu, a vama pošalju odgovarajuće
obavestenje (BlackICE), dok drugi rade poluautomatski i odmah prijave svaku sumnjivu stvar i od korisnika zahtjevaju da odluči
šta dalje (ATGuard). Nedostatak prvih je što prijavljuju dosta lažnih uzbuna (čak i samog korisnika okarakterišu kao napadača),
a nedostatak drugih je što je korisnik glavni krivac kada bez razloga izblokira neki svoj program ili stvori suviše filtera pa ne
može da uspostavi vezu sa nekim serverom.
Vještina rada sa ovim programima se sastoji u razlikovanju normalne komunikacije od bezazlenih skeniranja portova,
zaglupljivanja servera (kada pokušaju da vam pošalju podatke na neki drugi port pored onog dogovorenog), pokušaja upada u
vas računar kada neki virus uspostavi vezu sa svojim gazdom i pokušaja nekog lamera da brutalnom silom uleti u vas računar.
14
Najbolja zastita od trojanaca je Firewall.
Prava uloga Firewall-a je u nadgledanju onog što izlazi iz vašeg kompjutera. Ako želite da imate
bezbjedan računar koji ima pristup Internetu i koji će posedovati program koji će beleziti sve što je
proslo kroz vas modem ili link i program koji nadgleda sve portove i koji neće dozvoliti sumnjivim
programima ili hakerima da uspostave konekciju, Firewall je prava stvar za vas.
Firewall je najbolja zastita od onih koji pokušavaju da vam sruse sistem i najbolja zastita od Back
Door trojanaca.
Zamislite sljedeću situaciju: putem e-mail-a ste dobili igricu. Vaš Antivirus nije otkrio ništa
sumnjivo i vi ste odlučili da igru startujete. Igrica je stvarno bila ono što ste i očekivali, lepo ste se
poigrali i odlucili ste da jos malo surfujete Internetom. Zamislite da je ta igrica instalirala novog
trojanca. Antivirusi vas neće zastititi ali Firewall hoće. Prijaviće vam da neki novi program (recimo
GAMEBOY.EXE) pokušava da pristupi Internetu što će vam biti dovoljno da shvatite da imate
uljeza na disku.
Vidjeli smo šta je prva uloga Firewall-a, nadgledanje onoga što izlazi iz vašeg kompjutera na
Internet (Inbound konekcija), sad je ostalo još samo da vidimo šta se dešava kada neki paket
podataka dođe do vašeg kompjutera, tj. kad vas neki haker "pinguje" (pokušaj poznat i kao
Outbound konekcija). Hakeri pinguju, tj. šalju neke podatke na port najpopularnijih trojanaca da bi
saznali da li ste zaraženi. Ukoliko trojanac odgovori, haker će znati da ste zaraženi i upašće
vam u kompjuter. Ako paket podataka bude upućen portu koji tog trenutka osluškuje program koji
niste autorizovali, AtGuard će prijaviti "Outbound konekciju" i u dijelu gdje piše ime programa će
pisati ime programa koji osluškuje taj port i IP adresa hakera. Ukoliko vam je program sumnjiv,
blokirajte zauvijek konekciju. Međutim, ukoliko ste program već proglasili legalnim, Firewall vam
neće nista prijaviti, što je i normalno.
Ali ako paket podataka bude upućen portu koji tog trenutka nije rezervisan ni za jedan program,
AtGuard će prijaviti "Outbound konekciju" i u dijelu gdje piše ime programa, ovog puta će pisati
"N/A" zato što nijedan program ne prisluskuje taj port. U takvoj situaciji treba blokirati konekciju
(ne zauvijek) a ako haker bude baš dosadan, blokirajte zauvijek konekciju sa tom IP adresom ili na
portu koji trenutno koristi haker.
Poslije nekoliko dana možete izbaciti tu blokadu iz Firewall liste tako što ćete u meniju AtGuarda
izabrati Settings i kliknuti na jezicak "Firewall". Tu možete vidjeti i kojim ste programima
dozvolili, odnosno zabranili pristup Internetu i možete ih izbaciti sa liste.
Neko će na kraju pitati zašto blokirati paket ako je upućen portu koji ni jedan program ne osluškuje.
Mada je malo vjerovatno, ali, nikad se ne zna, možda taj paket otvori skrivena vrata u sistemu ili
blokira cio sistem, kao što je to slučaj sa portom 137 kod starijih verzija Windowsa.
I naravno, AtGuard je ipak dužan da prijavi pingovanje, jer te podatke možete poslati provajderu
koji će kazniti hakera zbog pokušaja da na vašem kompjuteru pronadje trojanca i iskoristi ga da bi
upao na vas kompjuter.
Poslije nekoliko minuta, sve će biti definisano i moći ćete bez problema da koristite Internet, a za
nekoliko dana, kada otkrijete sve ostale mogućnosti Firewall-a, shvatićete koliko ste sada
bezbjedniji i činiće vam se kako je sve pod vašom kontrolom.
Tri najpoznatija firewall-a su:
http://www.zonelabs.com - ZoneAlarm, ZoneAlarm Pro – Firewall
http://www.iss.net – BlackICE- Firewall
http://www.sybergen.com - Sygate Personal Firewall Pro
15
Štasuco
ookies?
Kolačići -kkukiji su maali tekstualn
ni fajlovi koj
oji služe kao
o pamćenje, vašem webb browseru.
Neki sajtovvi ih nemajuu/ne prave a neki ih im
maju. U njih se mogu up
pisivati podaaci vašeg username-a i
šifre (naravvno kodovaane) koji see koriste prii vašem auttomatsko lo
ogovanju naa njihov sajt, Takođe i
podaci o vrrijemenu vaaše posljedn
nje posjete i još puno sttvari.
Cookies je nnaziv za poddatke koje serrver, sa odreedjenog blog
ga ili sajta, može
m
da isporruči u memoriju klijenta,
tj. u Vaš raččunar, bez zaahtjeva od sttrane klijentaa, tj od Vaše strane. Svrh
ha Cookies-aa je da se ola
akša narednaa
poseta klijeenta, tj. Vas na
n istu adressu servera, kkoju ste već posetili
p
na ta
aj način što su tu sačuva
ani podaci o
pravcima prretrage koju ste obavili.
U suštini to su mali teksstualni fajlovvi koji pamte Vaše šifre i korisnička im
mena.
Cookies-i suu najčešće prrogramirani da se nakonn izvesnog vrremena autom
matski izbriššu iz Vašeg browsera,
b
alii
je veliki brooj i onih kojee je nemogućće odstraniti standardnim
m načinima brisanja,
b
takoo da svako su
urfovanje poo
internetu poovećava broj
oj instaliraniih cookies-a u memoriju
u Vašeg raču
unara. Vrem
menom njihov broj možee
postati eksttreman, oduzzimajući vam
m slobodan pprostor na ha
ard-disku. Da
D bi se to izzbjeglo potreebno je da u
ikoni za poddešavanje fuunkcija vašeg
g browsera ((u Control Panel-u)
P
isklju
učite odobreenje za prijem
m cookija ilii
da vremenoom to čistite sami
s
ručno.
Inače, sve pprimljene coookies-e wind
dows smeštaa u svoju fasciklu (direktorijum) Tem
mporary Interrnet Files, a
poneki i u fa
fasciklu Tempp, odakle ih možete
m
i ručnno ukloniti - izbrisati.
Kokisi kojji sadrže šiffru i user su
u vezani zaa taj računaar na kojem
m se nalaze tako da nee morate daa
brinete akoo ih neko prrekopira na svoj da će iimati pristup
p kao vi na svom računnaru.
Cookies-i iimaju dvije strane, dob
bri i lošu.
Dobra straana bi bila što
š olakšavaaju pristup pri logovan
nju na Vašu
u omljenu sstranicu, dok je loša taa
što bilo koo, ko koristti Vaš raču
unar može dda vidi Vašše korisničk
ke naloge i šifre, pa se
s savjetujee
redovnije bbrisanje kolačića, ili zaaštita samogg računara.
Postoje i C
Cookies-i kooji su vezanii za reklamnne sadržaje i plasiranjee pop-up rekklama.
Pomoću prrograma ZoneAlarma imate moguććnost blokirranja cookiees-a i njihovve kontrole.
S obzirom
m na EU zaakon o e-komunikacij
ijama koji je ušao u upotrebu 225. jula 2003 svi kojii
posećuju web koristteći Intern
net, moraju
u biti obav
vješteni o kukijima ((cookies) i njihovom
m
m
da odbijetee korišćenje istih.
svrhom. U isto vrijeme imate mogućnost
s pridržavaaju zakona, a žele da koriste
k
kukiije treba daa na svojim stranicamaa
To znači dda svi koji se
imaju upozzorenje. Evoo primjera jednog takvvog upozorenja:
Naša web stranica koristi
k
"jed
dnokratne kkukije". Dokk ste na našem
n
sajtuu kuki posttoji a kadaa
napustite nnaš web sajjt on se auto
omatski briiše. Kukiji se
s koriste da
a bi se moggao birati različit jezikk
na našem web sajtu kao i da bi mogli kuppovati na isstom. Ukoliiko želite kkupovati na .... moratee
prihvatiti kkukije u Vaššem web čita
aču i to možžete učiniti na jedan od
d sledećih nnačina...
16
Stvarinakojetrebaobratitiposebnupažnju
•
•
•
•
•
•
•
•
Širenje e-mail virusa (bez sumnje najdestruktivniji i najrašireniji virusi) bi se moglo
spriječiti mnogo jednostavnije i efikasnije, bez potrebe za anti-virus programima, ako bi se
rupe u e-mail klijentima, koje se odnose na izvršavanje dobijenih programa, pokrpale.
Obrazovanje korisnika može efikasno zamijeniti anti-virusne programe; jednostavna obuka
korisnika za sigurno korištenje računara (kao što je ne skidanje i ne pokretanje
nepoznatih programa sa Interneta) bi znatno usporilo širenje virusa i dovelo do upitnosti
potrebu za korištenje anti-virus programa.
Korisnici računara ne bi trebali uvijek koristiti administratorske privilegije za rad na
svom računaru. Ako se računar koristi bez administratorskih privlegija određeni tipovi
virusa se uopšte ne mogu širiti (ili je šteta koju mogu nanjeti znatno manja). Ovo je jedan od
razloga zašto je broj virusa na Unix-odnim sistemima znatno manji.
Pristup detekciju uz pomoć rječnika virusa nije uvijek dovoljan—zbog stalnog kreiranja
novih virusa—dok s druge strane pristup detekcije sumnjivog ponašanja ne radi uvijek zbog
problema lažnih uzbuna; zbog navedenog, trenutni stadij anti-virus programa neće nikada
pobjediti sve kompjuterske viruse
Postoje razne metode za kriptovanje i pakovanje malizioznog programa, koji omogućava
čak i dobro poznatom virusu da bude sakriven od anti-virus programa. Detekcija ovih
"kamufliranih" virusa zahtjeva jak metod raspakivanja, koji može dešifrovati datoteke prije
nego što ih pregleda. Nažalost, većina popularnih anti-virus programa nema ovu mogućnost
i često nisu u stanju da detektuju zapakovane viruse.
Trajno pisanje i širenje virusa i panika koju stvaraju daje komercijalnim proizvođačima
finansijski interes u kontinuiranjoj egzistenciji virusa.
Neki anti-virus program mogu značajno smanjiti performanse računara. Korisnici tada
često isključuju anti-virus zaštitu da bi vratili izgubljene performanse te tako povečavaju
rizik od infekcije! Za maksimalnu zaštitu potrebno je uvijek imati anti-virus program
uključen. Neki anti-virus programi imaju manji uticaj na performanse.
Nekada je neophodno privrijemeno isključiti anti-virus zaštitu prilikom instalacije velikih
update-a kao što su Windows Service Pack ili novi driveri za grafičku karticu. U slučaju da
je tada uključena anti-virus zaštita moguće je da sa update-i ne instaliraju dobro ili da se
uopšte ne instaliraju.
17
Download

Fizička zaštita podataka na računaru