1
VISOKA HEMIJSKO-TEHNOLOŠKA ŠKOLA KRUŠEVAC
RAČUNARSTVO I INFORMATIKA
SEMINARSKI RAD
RAČUNARSKE MREŽE
ETIČKO HAKERISANJE I ISPITIVANJE MOGUĆNOSTI
PROBOJA
Predmetni nastavnik: Student:
Branko Grubić Marko Vuji ć
U Kruševcu, 05.12.2013.
4
nakon otkrivanja nedozvoljenih aktivnosti i ponovne zabrane pristupa sistemu, reagovali
destruktivno. Ukoliko bi posledica destruktivne aktivnosti bila značajna zbog nedostupnosti
sistema ili veličine oštećenja na sistemu, to bi postalo „vest“, i novinske agencije bi je
objavile. Umesto da koriste tačan termin „kompjuterski kriminal“, mediji počinju da koriste
termin haker kako bi opisali osobu koja upada na računarske sisteme zbog zabave, osvete ili
zarade.
Pošto je zvati nekoga haker prvobitno bilo kompliment, profesionalci u oblasti računarske
sigurnosti radije drugačije nazivaju hakere koji su se okrenuli tamnoj strani hakerisanja. U
svakodnevnom govoru i dalje možemo čuti da se termin haker koristi u oba značenja-
pozitivnom i afirmativnom, koje podrazumeva posvećenost te osobe tehnologiji i uvećanju
znanja, ali i u negativnom i destruktivnom, gde je to znanje iskorišćeno za ilegalne i
kriminalne aktivnosti. U javnosti se i dalje donekle blagonaklono gleda na problem hakera
čak i u kada oni sprovode aktivnosti koje se teško mogu podvesti pod zakonite i
dobronameme.
1.2 Crni i beli šeširi
Izraz
haker s belim šeširom
(engl.
white hat hacker
) ili
etički ha- ker
(engl.
ethical hacker
) u oblasti informacionih tehnologija, ukazuje na lice koje je
protiv zloupotrebe računarkih sistema. Ovim terminom se često nazivaju oni
koji pokušavaju da prodru u tuđe sisteme i mreže kako bi pomogli vlasnicima
tih sistema da sagledaju sigurnosne propuste. Mnogi od njih su zaposleni u
kompanijama koje se bave sigurnošću i pomažu im da otkriju probleme i
poboljšaju proizvode i usluge. Dok hakeri s belim šeširima pokušavaju da odbrane
računarske sisteme,
hakeri s crnim šeširima
(engl.
black hat hackers
), tj.
zlonamemi
hakeri
„loši momci“ pokušavaju da upadnu u tuđe mreže i sisteme, ukradu poverljive
informacije i/ili nanesu neku štetu. Obe vrste hakera koriste slične metode i alate, ali s
različitim ciljem.
1.3 Deset zapovesti računarske etike
U skoro svakoj državi važe određene zakonske norme u kojima se definiše koje su akcije u
informacionim i računarskim sistemima i mrežama dozvoljene, a koje nisu. Ove norme se
razlikuju od države do države (zakonska regulativa u ovoj oblasti verovatno je najtemeljnija
u SAD) ili su srodne za grupu zemalja, kao što je recimo Evropska unija. Više detalja o
pravnim aspektima navedeno je u 14. poglavlju ove knjige.
Institut za računarsku etiku (The Computer Ethics Institute) neprofitna je istraživačka
organizacija koju čine Brookings Institute, IBM, The Washington Consulting Group i
Washington Theological Consortium. Ova organizacija je objavila 10 zapovesti računarske
etike:
1.
Ne koristi računar da povrediš drugog.
2.
Ne mešaj se nepozvan u tuđ rad na računaru.
3.
Ne njuškaj po tuđim datotekama.
4.
Ne koristi računar da bi lažno svedočio.
5.
Ne koristi računar da bi krao.
6.
Ne koristi komercijalni softver koji nisi platio.
7.
Ne koristi tuđe računarske resurse bez odobrenja ili nadoknade.
8.
Ne prisvajaj sebi zasluge za tuđu intelektualnu svojinu.
9.
Razmisli o posledicama koje će program koji pišeš ili sistem koji projektuješ imati na
društvo.
10.
Koristi računar samo na način koji ne ugrožava druge.
Ukoliko sebe smatrate za hakera, lako ćete odrediti svoju boju šešira shodno broju
zapovesti koje poštujete.
5
1.4 Šta je etičko hakerisanje?
Kako se sve više koristi Internet, sigurnost računarskih i informacionih sistema i
računarskih mreža postala je glavna briga preduzeća, organizacija i vladinih institucija. Svi
oni žele da koriste Internet za elektronsko poslovanje, reklamiranje, širenje i veću dostupnost
informacija, kao i za druge stvari, ali su isto tako zabrinuti zbog mogućnosti da budu
„uhakovani“. Istovremeno, potencijalni kupac ovih usluga želi da zadrži kontrolu nad ličnim
i osetljivim informacijama (brojevi kreditnih kartica, socijalnog osiguranja tj. jedinstvenih
matičnih brojeva građana- JMBG kod nas, telefona ili kućnih adresa).
U nastojanju da donekle reše problem, organizacije su zaključile kako je angažovanje
nezavisnog stručnjaka za sigurnost koji će pokušati da upadne na njihov sistem, najbolji
način da se proveri opasnost od upada u sistem. Ta uloga donekle podseća na nezavisnog
revizora koji će proveriti knjigovodstvo u nekoj organizaciji i ukazati na propuste. U slučaju
računarske sigurnosti, etički hakeri koriste iste tehnike i alate kao i potencijalni napadač, ali
za razliku od napadača, ne oštećuju sistem i ne kradu informacije, već procenjuju sigurnost
sistema i vlasnika izveštavaju o sigurnosnim propustima na sistemu i o načinima uklanjanja
grešaka i propusta. Ovaj način procene sigurnosti sistema primenjuje se još od uvođenja
računara.
Jedno od prvih etičkih hakerisanja obavile su Vazduhoplovne snage SAD, da bi se
analizirala sigurnost operativnog sistema
Multics.
S porastom primene računarskih mreža i
Interneta, studije ranjivosti računarskih mreža počele su da se pojavljuju i u civilstvu.
1.5 SATAN
Jedna od najznačajnijih studija bio je rad D. Farmera i W. Z. Venema,
Improving the
Security of Your Site by Breaking into It,
poslat na Usenet mrežu u decembru 1993. godine.
Oni su javno razmatrali, možda po prvi put, korišćenje hakerskih tehnika za procenjivanje
sigurnosti nekog sistema. S ciljem da se podigne prosečan nivo sigurnosti na Internetu i
intranetu, oni su opisali kako su uspeli da sakupe dovoljno informacija o svojim metama da
bi mogli da ugroze sigurnost tih sistema ako budu hteli. Dali su par specifičnih primera kako
se informacije mogu sakupiti i iskoristiti da bi se dobila kontrola nad sistemom, i kako takav
napad može da se spreči.
Farmer i Venema su odlučili da svoj izveštaj postave na Internet kako bi drugi mogli da ga
pročitaju i da nauče iz njega. Shvatili su kako su njihova testiranja stručna i isuviše
kompleksna, pa mogu oduzeti dosta vremena ili biti isuviše dosadna tipičnom administratoru
sistema da bi ih radio svakodnavno. Zbog toga su skupilisve alate koje su koristili tokom
ispitivanja, zapakovali ih u jednu aplikaciju koja se relativno jednostavno koristi, i tu alatku
dali svakome ko je hteo da je preuzme. Njihov program, koji su nazvali Security Analysis
Tool for Auditing Networks, ili kratko
SATAN,
za kratko vreme je stekao veliku medijsku
popularnost. Mnoga od tih reagovanja bila su negativna, zato što su mogućnosti alata
shvaćene pogrešno. Alat nije automatizovani hakerski program koji bi upao na sistem i ukrao
nečije tajne. Njime se izvode ispitivanja koja daju informacije o ranjivosti sistema; uz to, pro-
gram savetuje kako da se ranjivost otkloni. Baš kao što banka s vremena na vreme ispituje
svoje naloge i procedure, isto tako i računar mora redovno da se proverava. Alat SATAN daje
tu mogućnost ispitivanja, ali ide i korak dalje, pružajući savete o otklanjanju nađenih
problema. Alat ne daje objašnjenje kako bi te ranjivosti mogle da se iskoriste, jer to nije bio
cilj ovog programa.
