SIGURNOST INFORMACIJSKIH SUSTAVA
Bilješke su bazirane na materijalima “Sigurnost IS-a - FIT)”.
Materijal predstavlja kvalitetan uvod u sigurnost operativnih sistema, mreža i aplikacija.
AKTIVNI NAPADI (1)
TCP/IP HIJACKING (SESSION HIJACKING)
TCP/IP hijacking ili session hijacking je napad koji se pojavljuje u većini TCP/IP baziranih aplikacija, od Telnet sesija do web aplikacija.
Da bi došlo do hijacka TCP/IP konekcije, napadač mora imati mogućnost presretanja mrežnog prometa mete.
Nakon toga može ubacivati vlastite pakete u već uspostavljenu sesiju, a sistem ih prihvata kao legitimne.
Najčešće se koriste alati:
T-sight (Windows)
Hunt (Unix/Linux)
Najlakše je preuzeti clear-text sesije (FTP, Telnet).
Međutim, najzanimljivije mete su web aplikacije, posebno e-commerce sistemi koji koriste session cookies.
Kod web aplikacija napad se obično sastoji od:
krađe session cookie-ja
preuzimanja aktivne korisničke sesije
Korisnik obično dobije poruku o isteku sesije ili neuspješnoj prijavi i rijetko posumnja da je napad u toku.
Ako je vrijeme neaktivnosti sesije predugo, povećava se rizik:
krađe cookie-ja
pogađanja session ID-ja
Zaštita:
enkripcija komunikacije
SSL/TLS za web aplikacije
VAŽNO:
Session hijacking znači preuzimanje već uspostavljene TCP sesije i ubacivanje vlastitih paketa u komunikaciju.
REALNI PRIMJERI:
Firesheep (2010): Firefox plugin koji je omogućavao krađu Facebook, Twitter i Gmail sesija na otvorenim Wi-Fi mrežama.
Sidejacking napadi na javnim Wi-Fi hotspotima (aerodromi, kafići) gdje HTTPS nije bio obavezan za cijelu sesiju.
Krađa session cookie-ja na nezaštićenim web aplikacijama i preuzimanje korisničkih naloga.
AKTIVNI NAPADI (2)
REPLAY NAPADI
Replay napadi su rijetki jer je teško pogoditi TCP sekvencne brojeve. Napadač prvo presretne osjetljive podatke, a zatim ih ponavlja prema hostu u pokušaju ponovne transmisije.
Druga varijanta je slanje istih podataka s različitim sekvencnim brojevima u nadi da će jedan biti ispravan, što može uzrokovati prekid konekcije ili ubacivanje podataka u sesiju.
REALNI PRIMJERI:
Replay napadi na RFID kartice (hoteli, javni prijevoz) gdje nije korišten timestamp ili nonce.
Napadi na starije verzije Kerberos autentifikacije bez pravilne zaštite od ponavljanja poruka.
DUMPSTER DIVING (KOPANJE PO SMEĆU)
Dumpster diving podrazumijeva traženje korisnih informacija u fizičkom otpadu žrtve.
Često se mogu pronaći:
mrežne sheme
konfiguracije routera i firewalla
lozinke zapisane na papiru
bankovni i kartični izvodi
REALNI PRIMJERI:
Poznati slučajevi industrijske špijunaže gdje su pronađene interne mrežne sheme u smeću kompanija.
Identitet krađe gdje su kriminalci koristili bankovne izvode pronađene u kućnom otpadu.
SOCIJALNI INŽENJERING
Socijalni inženjering je manipulacija ljudima radi pribavljanja informacija. Bez obzira na tehnologiju, ljudski faktor je najslabija tačka sigurnosnog sistema.
Karakteristike:
manipulacija i lažno predstavljanje
može se koristiti sa ili bez tehnologije
često daje najbolje rezultate
REALNI PRIMJERI:
Kevin Mitnick: koristio telefonske pozive i lažno predstavljanje da dobije administratorske lozinke.
Phishing e-mailovi koji se predstavljaju kao IT podrška i traže reset lozinke.
Napadi na help-desk gdje se napadač predstavlja kao novi zaposlenik.
PASIVNI NAPADI
Pasivni napadi ne uključuju direktno napadanje sistema, već osluškivanje i prikupljanje informacija.
3.1 SNIFFING (PRISLUŠKIVANJE MREŽE)
Sniffing je praćenje i analiza mrežnog prometa.
Alati:
tcpdump (UNIX/Linux)
snoop (Solaris)
Snort (IDS, detekcija anomalija)
Wireshark (GUI, rekonstrukcija TCP sesija)
Wireshark omogućava rekonstrukciju:
web sesija
e-mail poruka
preuzetih datoteka
REALNI PRIMJERI:
Prisluškivanje lozinki na nezaštićenim Wi-Fi mrežama.
MITM napadi korištenjem ARP spoofinga.
Sniffing industrijskog SCADA prometa bez enkripcije.
3.2 NAPADI NA LOZINKE
Napadi na lozinke su među najčešćim vrstama napada.
BRUTE-FORCE NAPADI
Brute-force podrazumijeva testiranje svih kombinacija lozinki. Iako je broj kombinacija velik, on je konačan.
Većina sistema koristi hashiranje lozinki (MD5, SHA, bcrypt), što znači da lozinke nisu pohranjene u čistom tekstu.
Napadač prvo mora doći do:
korisničkih imena
hashovanih lozinki
Nakon toga se pokušava pronaći odgovarajući hash.
DICTIONARY NAPADI
Dictionary napadi koriste liste riječi i vrlo su efikasni protiv slabih lozinki.
REALNI PRIMJERI:
LinkedIn breach (2012): ukradeni SHA1 hashovi miliona lozinki.
RockYou breach: lozinke čuvane u clear-textu.
Offline cracking koristeći GPU (Hashcat).
3.3 NAPADI MALICIOZNIM KODOM (MALWARE)
Malware je softver dizajniran da nanese štetu sistemu.
3.3.1 VIRUSI
Virusi su samo-replicirajući programi koji se izvršavaju u memoriji i utiču na OS ili aplikacije.
Šire se putem:
USB uređaja
e-maila
mreže
zaraženih programa
REALNI PRIMJERI:
ILOVEYOU virus (2000)
Melissa virus
Macro virusi u Office dokumentima
3.3.2 TROJANCI
Trojanci se predstavljaju kao legitiman softver, ali sadrže skriveni maliciozni kod.
Omogućavaju:
krađu podataka
udaljenu kontrolu sistema
REALNI PRIMJERI:
Zeus banking trojan
Emotet
SubSeven
3.3.3 CRVI (WORMS)
Crvi su samo-replicirajući programi koji se šire mrežom bez korisničke interakcije.
REALNI PRIMJERI:
Code Red
Nimda
WannaCry (kombinacija crva i ransomware-a)
3.3.4 BACKDOOR (STRAŽNJA VRATA)
Backdoor omogućava neautentificiran pristup sistemu.
Može biti:
trojanac
rootkit
dio legitimnog softvera
REALNI PRIMJERI:
Sony BMG DRM rootkit (2005)
Hardcoded backdoor lozinke u mrežnim uređajima
Rootkit infekcije na kompromitiranim Linux serverima
ZAKLJUČAK
Sigurnost informacijskih sistema ne zavisi isključivo od tehnologije, već od kombinacije tehničkih mjera, pravilne konfiguracije sistema i ljudskog faktora. Aktivni napadi (hijacking, replay, socijalni inženjering) direktno ugrožavaju dostupnost i integritet sistema, dok pasivni napadi (sniffing, prisluškivanje) omogućavaju napadaču da prikuplja informacije bez da bude primijećen.
Najčešće mete su slabo zaštićene mreže, web aplikacije bez pravilno implementiranog HTTPS-a, sistemi sa slabim lozinkama i korisnici bez sigurnosne svijesti. Većina uspješnih napada u praksi nije rezultat naprednih tehnika, već loših sigurnosnih politika, pogrešnih konfiguracija i nepažnje korisnika.
Efikasna zaštita zahtijeva:
enkripciju mrežnog prometa
kratko trajanje sesija i pravilno rukovanje cookie-jima
jake i jedinstvene lozinke uz MFA
redovne sigurnosne nadogradnje
edukaciju korisnika o socijalnom inženjeringu
Bez kontinuirane edukacije i sigurnosne kulture, čak i najskuplja infrastruktura ostaje ranjiva.
TL;DR
Aktivni napadi = direktno preuzimanje ili ometanje komunikacije (session hijacking, replay, socijalni inženjering)
Pasivni napadi = prisluškivanje i prikupljanje podataka bez vidljivog napada (sniffing)
Najčešće mete: web aplikacije, Wi‑Fi mreže, slabe lozinke
Ljudi su najslabija karika sigurnosti
Enkripcija, MFA i edukacija korisnika su ključ odbrane
Većina realnih napada koristi poznate i “jednostavne” ranjivosti