Ispitno okruženje i načini ispitivanja

Alati za prikrivanje prisutnosti napadača koji se obrađuju u ovom tekstu i sav kôd koji će biti prikazan i objašnjen, ima u suštini uglavnom zloćudnu svrhu i kao takvoga ga treba tretirati s oprezom. Pri stvaranju ispitnog okruženja najveća je pozornost posvećena izoliranosti samog testnog sustava, kako se sav zloćudni kôd ne bi širio izvan svog ciljnog okruženja. Ugradnja zloćudnih alata u računalo kojim se vršilo samo ispitivanje nije izravno dolazila u obzir, a to bi otežalo i demonstraciju rada alata jer bi sam rad bio nedjeljiv od računala na kojem se on obavljao.

Idealno rješenje za izolaciju ispitnog sustava pojavilo se u obliku virtualnog stroja unutar VMware aplikacije. Takav virtualni stroj s operacijskim sustavom (u daljnjem tekstu gost) odvojen je dodatnom razinom apstrakcije od stvarnog hardvera. Sve promjene unutar gosta mogu se vrlo jednostavno nadgledati bez negativnog utjecaja na glavni operacijski sustav (u daljnjem tekstu domaćin), promjene se mogu poništiti (VMware ima opciju povratka u "prošlost", na neko staro stanje sustava koje je bilo zadovoljavajuće), a moguće potpuno rušenje i uništenje gosta vrlo se jednostavno popravlja ponovnom instalacijom, ili vraćanjem na prijašnje stanje.

Također, VMware omogućava postojanje više virtualnih strojeva s različitim operacijskim sustavima pa na jednom računalu domaćinu možemo istodobno vršiti ispitivanje nad više operacijskih sustava istovremeno.

Samo stvaranje virtualnog stroja izvan je dosega ovog rada, no vrlo je jednostavno i intuitivno.

Pri odabiru operacijskih sustava virtualnih strojeva uzet je u obzir dijagram naveden u prošlom poglavlju, uz napomenu da novi operacijski sustav – Windows Vista – nije uzet u obzir zbog relativno nedavnog pojavljivanja na tržištu i mnogo novina čije bi proučavanje vremenski odgodilo nastanak ovog rada.

Prema tome, odabrani su sljedeći operacijski sustavi:

Razlog odabira istih verzija operacijskih sustava, samo s različitim stupnjem ažurnosti u pogledu zakrpa je ispitivanje utjecaja zakrpa i poboljšanja koje donosi Microsoft na funkcionalnost alata za prikrivanje prisutnosti napadača. Takvo razmatranje najviše ima smisla kod operacijskog sustava Windows XP (koji je ujedno i najbrojniji), zbog vrlo velikog broja sigurnosnih zakrpa i dodataka koje je uveo Service Pack 2 za Windows XP (Service Pack 3 u trenutku pisanja rada službeno nije javno dostupan u svojoj konačnoj verziji).

Sami operacijski sustavi (unutar gosta) zauzimaju veliki memorijski prostor (naravno, radi se o prostoru domaćina): zahtijevaju relativno veliki prostor na tvrdom disku i u radnoj memoriji, osobito kada je na računalu domaćinu pokrenuto više gostiju.

Kako bi se taj problem riješio (ili barem sveo na najmanju moguću mjeru), iskorištena je mogućnost stvaranja vlastite instalacije Windows operacijskog sustava iz kojeg se izbacuju svi nepotrebni dijelovi. Alat koji je omogućio izradu vlastite modificirane instalacije naziva se nLite [3aD. Nuhagić, nLite].

Postavlja se pitanje legalnosti upotrebe ovakvog alata, budući da je Windows operacijski sustav vlasništvo kompanije Microsoft i u ugovoru kojeg korisnik mora prihvatiti prilikom instalacije (engl. EULAEnd-user License Agreement) stoji da korisnik ne može provoditi neovlaštene modifikacije sustava. Međutim, na Internetu nema dostupne dokumentacije o tome, Microsoft (zasada) nije reagirao i prisutni su uglavnom pomirljivi tekstovi od strane Microsofta koji niti podržava, ali ni ne napada nLite i programe slične svrhe. Osim toga, proizvođači računala poput Dell-a i HP-a već čitavo desetljeće stvaraju vlastite instalacije (gotovo vlastite "verzije") Windows operacijskog sustava pa se postavlja pitanje zašto to ne bi mogao i korisnik koji je za taj softver dao svoj novac.

Slična je situacija i s Windows operacijskim sustavom koji se koristi unutar virtualnog stroja, kao u ovom radu. Kupnjom Windows operacijskog sustava, korisnik automatski kupuje licencu koja mu omogućuje da taj softver koristi na jednom ili više računala. Korištenje (instalacija) operacijskog sustava na više računala nego što je to dozvoljeno licencom, smatra se povredom ugovora i kaznenim djelom. No nejasno je da li se pod definicijom računala misli stvarno fizičko računalo ili je i virtualno računalo također obuhvaćeno ugovorom. Zasada Microsoft uglavnom smatra da korištenje kopije Windows operacijskog sustava (za kojeg korisnik ima licencu za jedno računalo) u više virtualnih strojeva nije povreda licence, sve dok se radi o jednom fizičkom računalu domaćinu.

Korištenjem nLite alata iz instalacija je izbačeno sve što za samu funkcionalnost sustava i za potrebe ispitivanja nije bitno (igre, podrška za različito sklopovlje i uređaje koji se ne koriste, servisi koji se ne koriste i dr.). Time su instalacije smanjene s oko 600 MB na oko 250 MB za Windows XP. Takvi reducirani operacijski sustavi zauzimaju relativno malo diskovnog prostora (oko 1.5 GB) i malu količinu radne memorije (teško je točno odrediti koliko, no reduciranjem sustava moguće ih je pokrenuti više odjednom na jednom računalu domaćinu).

Ispitivanje se vršilo uglavnom tako da je prije bilo kakve modifikacije gosta napravljena slika stanja sustava (engl. snapshot). Nakon toga su u gost (putem ugrađene mrežne kartice i Host-only veze) prenesene sve željene datoteke, izvršila su se ispitivanja (primjerice, u gost je ugrađen zloćudni alat, pratio se njegov utjecaj na stanje sustava, iskušane su metode detekcije i odstranjivanja alata iz sustava) i zatim je sustav vraćen u prijašnje stanje, kako niti jedna eventualno zaostala komponenta korištenog koda ne bi imala utjecaja na daljnja ispitivanja.

U ispitivanjima su korišteni brojni alati za analizu stanja sustava, za razvoj aplikacija, antivirusni i slični programi i brojni drugi. Popis korištenih alata nalazi se u popisu literature 10, a u tekstu će uvijek uz alat biti navedena referenca na stranicu odakle se on može preuzeti ili kupiti.

Natrag na vrh