Zlouporaba ranjivosti računalnih sustava |
| Exploit |
| Vrste exploita |
| Buffer overflow |
| Heap overflow |
| Integer overflow |
| Format string attack |
| SQL injection |
| Cross-site scripting |
U okviru računalne sigurnosti exploit predstavlja skup informacija koje haker, koji napada sigurnost nekog računalnog, odnosno informacijskog sustava upućuje npr. web poslužitelju kojega želi napasti, koristeći njegove nedostatke, odnosno ranjivosti. To može biti dio softvera, blok podataka ili slijed naredbi koje iskorištavaju programske ili sklopovske pogreške, nepravilnosti u radu i slične ranjivosti sustava s namjerom da prouzrokuju nenamjeravano ili neočekivano ponašanje na programskoj opremi računala, sklopovlju ili nečem drugom elektroničkom (uglavnom računalnom). Ovo često uključuje dobivanje kontrole nad računalnim sustavom i omogućavanje napada poput eskalacije ovlasti ili uskraćivanja posluživanja.
Eskalacija ovlasti (eng. privige escalation) je postupak iskorištavanja pogreška u programu u svrhu dobivanja pristupa sredstvima koja bi inače bila zaštićena. Posljedica ovog je da program može obavljati radnje sa većom sigurnosnom razinom nego što mu je prvotno namjenjeno od strane razvojnog programera ili administratora sustava.
Uskraćivanje posluživanja (eng. Denial-of-Service, DoS attack) odnosi se na napad koji kao posljedicu ima odbijanje usluga, tj. to je vrsta mrežnog napada pri kojem se mreža onesposobljuje time što ju se opterećuje izuzetno velikim, ali beskorisnim prometom pa nije u mogućnosti odgovarati na sve zahtjeve, odnosno pružati tražene usluge. Mnogi DoS napadi eksploatiraju ograničenja TCP/IP-a (eng. Transmission Control Protocol), a često su usmjereni na neke točno određene poslužitelje koje nastoje preopteretiti i izbaciti iz funkcije. Za poznate vrste napada ovog tipa postoje softverska rješenja koja smanjuju mogućnost i intenzitet napada, no hakeri stalno pronalaze nove vrste napada. Ovi napadi mogu natjerati računalo(ili računala) žrtve napada da se ponovo pokrene (resetira), da zauzme sve svoje resurse tako da više ne može pružati usluge za koje je namjenjen ili mogu prouzročiti smetnje u komunikacijskom kanalu između korisnika i žrtve napada s namjerom da se onemogući primjerena komunikacija. Poznati primjeri DoS napada su Ping of Death i Teardrop attack.
Postoje također i exploiti protiv klijentskih programa, koji se obično sastoje od izmijenjenih poslužitelja koji šalju exploit ako im se pristupi s klijentskim programom. Takvi exploiti često zahtjevaju izvjestan stupanj interakcije sa korisnikom pa se nerijetko kombiniraju sa metodom tzv. socijalnog inžinjeringa (eng. Social engineering).
Socijalni inžinjering obuhvaća metode ugrožavanja sigurnosti informacijskih sustava bez primjene visoke tehnologije. Koncentrira se na manipuliranje ljudima unutar sustava kako bi od njih dobio povjerljive informacije potrebne za neovlašteno korištenje resursa informacijskog sustava. Nastojeći ostvariti svoje ciljeve, napadači na sigurnost sustava, se služe obmanama, lažnim predstavljanjem, krađom identiteta, slanjem lažnih poruka elektroničkom poštom i ostalim vrstama pretežito socijalnih, a ne tehnoloških manipulacija, ali u većini slučajeva nikad ne dođu licem-u-lice sa žrtvom napada.
Mnogi exploiti su dizajnirani tako, da se njihovom upotrebom, postigne superkorisnička razina pristupa na računalnom sustavu. Međutim, također je moguće koristiti i nekoliko exploita odjednom: prvi da bi se dobila niska razina pristupa, a zatim uporaba svakog sljedećeg exploita povećava razinu pristupa dok se ne dostigne superkorisnička razina pristupa. Superkorisnik (engl. superuser) je korisnik sa svim mogućim pravima ili dozvolama za korištenje računalnog sustava u svim mogućim modalitetima i situacijama, a naziva se još i korjenom (eng. root). U većini informacijskih sustava superkorisnik je obično administrator sustava.
Jedan exploit obično može iskoristiti samo određenu ranjivost sustava. Često, nakon što se neki exploit objavi, ta ranjivost se popravi pomoću ''zakrpe'' u sustavu (eng. patch) i exploit postane zastario za novije verzije programa. To je razlog zašto neki zlonamjerni hakeri ne objavljuju svoje exploite već ih zadržavaju za sebe ili ih dijele sa sebi sličnima. Takvi exploiti se nazivaju exploiti nultog dana (engl. zero-day, 0-day exploit), a dobiti pristup takvim exploitima, primarna je želja mnogih nekvalificiranih napadača, često nazivanih i script kiddies.
Script kiddies je žargonski naziv za osobu, obično onu bez nekih posebnih tehnoloških znanja, koja nasumice traži specifične sigurnosne ranjivosti putem Interneta u nastojanju da ostvari pristup nekom sustavu bez stvarnog razumjevanja što, kao ranjivost, zapravo eksploatira, jer je tu ranjivost već otkrio neko drugi. Cilj takvog napadača nisu ni neke točno određene informacije niti neko specifično poduzeće, već radije koristi znanje o već poznatim ranjivostima i pretražuje čitav Internet kako bi pronašao žrtve koje su ranjive na određenu vrstu napada.
Zlouporaba računalnih sustava može se dogoditi na nekoliko razina. Osim na razini operativnog sustava, računalo može biti kompromitirano i iskorištavanjem propusta u programima koji se nalaze na tom računalu. Također, svakim danom sve je veći broj različitih exploita koji se šire putem interneta iskorištavajući određene ranjivost programske opreme i samih Web aplikacija.
U vrijeme kada je Internet nastajao kao eksperimentalna mreža, njegovi idejni začetnici i nisu mogli predvidjeti sve mogućnosti koje on ima danas nudi. No isto tako nisu mogli predvidjeti ni zlouporabe računalnih sustava koje su moguće putem istog i stoga nisu posebnu pozornost posvećivali definiranju i uvođenju računalne sigurnosti.
U današnje vrijeme računalna sigurnost je važan dio informatičke pismenosti, što i ne čudi s obzirom da je broj ranjivosti koje se mogu eksploatirati u konstantnom porastu. Tko na primjer neka istraživanja pokazuju da više od 90% Web aplikacija dostupnih na Internetu sadrži barem jedan sigurnosni propust koji potencijalnom napadaču omogućuje ugrožavanje njihove sigurnosti, kao i sigurnosti korisnika koji pristupaju ranjivoj aplikaciji.
Posljedica raznih ranjivosti u okviru računalne sigurnosti je da zlonamjerna osoba može načiniti štetu sadržajima na našem osobnom računalu, usporiti rad računala pa čak i učiniti ga neupotreblivim, preuzeti naše računalne sadržaje (povjerljive dokumente, lozinke, brojeve kreditnih kartica...), preuzeti kontrolu nad našim Web preglednikom, lažno se predstavljajući u naše ime neovlašteno pristupati web stranicama čiji smo korisnici te obavljati sistemske naredbe na Web poslužitelju itd.
LITERATURA
autor: Marijana Zelanto, 0036400264