KAKO DA vaš računar ostane bezbedan - 10. deo

Forensic Server Project

Forensic Server Project (FSP) predstavlja okruženje namenjeno forenzičkoj analizi, odnosno prikupljanju podataka sa kompromitovanih računara sa Windows operativnim sistemom. Rad programa zasnovan je na klijent-server modelu, pri čemu se klijentski deo instalira na računar koje se analizira, a serverski deo se postavlja na računar na koji se skladište podaci.

Na strani klijenta neophodno je odvojeno instalirati alate koji se koriste u postupku prikupljanja podataka, zato što FSP alat predstavlja samo okruženje za analizu napadnutih sistema bez odgovarajućih forenzičkih alata.
Serverski deo preko TCP veze prihvata podatke sa klijentskog računara, skaldišti ih u odgovarajući fajl i generiše njihovu hash vrednost i odgovarajući log zapis u koji se zapisuju aktivnosti programa.

Iako je inicijalno prilagođen Windows sistemima, ovaj program uz neka manja prilagođavanja može da se koristi i na drugim platformama, pošto je napisan u Perl programskom jeziku. Jedan od osnovnih nedostataka programa u trenutnoj verziji je da se podaci između klijentskog i serverskog dela razmjenjuju bez šifrovanja podataka.

ListDlls

ListDlls je jednostavan program koji se koristi za ispis svih DLL (Dynamic Link Libraries) fajlova koji su trenutno učitani u memoriju Windows operativnog sistema. Pored imena DLL fajlova, program može da ispiše i celokupni put do fajla, kao i da utvrdi eventualne razlike između DLL fajlova koji se nalaze u radnoj memoriji u odnosu na one koji su zapisani ne hard disku.

IPEye

IPEye je vrlo jednostavan alat za pregledanje TCP mrežnih portova i namenjen je računarima sa Windows 2000 i XP operativnim sistemima. Ovaj alat se pokreće preko komandne linije i podržava nekoliko različitih metoda pregledanja mrežnih portova (SYN, FIN, XMAS i NULL). Takođe je moguće proizvoljno podešavanje izvorne IP adrese i TCP porta testnih paketa kao i definisanje vremenskog intervala između pojedinih paketa. Alat je vrlo jednostavan za korišćenje što znatno olakšava njegovu primenu i od strane manje iskusnih korisnika.

Unicornscan

Unicornscan je brz i jednostavan alat za skeniranje velikih računarskih mreža i namenjen je pre svega bezbednosnim stručnjacima koji se bave ispitivanjem sigurnosti računarskih mreža i mrežne opreme. Ovaj alat trenutno može da izvede više vrsta skeniranja TCP i UDP mrežnih portova, sa mogućnošću zapisivanja rezultata u PCAP formatu.
Skeniranjem možete da upravljate iz komandne linije ili preko prilagođenog Web interfejsa koji se zove Alicorn, a koji za skladištenje i upoređivanje rezultata koristi relacionu bazu podataka. Unicornscan je projekt koji je službeno odobren od strane ISECOM (Institute for Security and Open Methodologies) instituta, što dodatno potvrđuje kvalitet ovog programa.

Sygate Personal Firewall

Sygate Personal Firewall je softverski personalni firewall, koji osim uobičajenih opcija blokiranja TCP/IP prometa, nudi i neke druge mogućnosti kao što su detekcija neovlaštenih aktivnosti, praćenje aktivnosti neovlaštenih korisnika, snimanje aktivnosti i tome slično. Pored toga, Sygate Personal Firewall omogućava zaštitu integriteta aplikacija kroz autentifikaciju.dll dinamičkih biblioteka, kao i zaštitu upravljačkih programa, to jest drajvera.

Qwik-Fix Pro Home Edition

Qwik-Fix Pro Home Edition predstavlja novu generaciju sistema za sprečavanje neovlašćenog pristupa na nivou pojedinačnih računara. Osnovni zadatak ovog bezbednosnog programa je blokiranje crva, virusa i ostalih zlonamernih programa, a namenjen je radu na Windows operativnim sistemima. Osnovna prednost programa je njegovo proaktivno delovanje, odnosno blokiranje servisa ili funkcionalnosti čije ranjivosti koriste zlonamerni programi. Zahvaljujući ovakvom pristupu moguće je blokiranje napada pre nego što se pojave odgovarajuće sigurnosne zakrpe, odnosno potpisi za antivirusne programe ili IDS sisteme. Na taj način značajno se podiže nivo bezbednosti sistema. Blokiranje napada zasnovano je na prilagođavanju konfiguracije operativnog sistema, kao i onemogućavanju odgovarajućih servisa i funkcionalnosti koje omogućuju zlonamerno delovanje.

NetStumbler

NetStumbler je besplatni alat za Windows operativne sisteme koji omogućuje identifikaciju bežičnih računarskih mreža zasnovanih na 802.11b, 802.11a i 802.11g standardima. Iako je program vrlo jednostavan, mogućnosti njegove primene su višestruke (npr. provera funkcionalnosti postavljenih bežičnih računarskih mreža, identifikacija nelegitimnih pristupnih tačaka, pomoć u postavljanu usmerenih bežičnih antena, provera područja pokrivenosti, i slično). Program je u trenutnoj verziji dostupan samo za Windows operativne sisteme (WinXP/Win2K/Win 2003).

CQual

CQual je napredni programski paket za sigurnosno skeniranje C i C++ programskog koda putem metode analize tipa podataka. Iako mu je inicijalna namena bila pronalaženje ranjivosti usled formatiranja niza znakova, ovaj program može da se koristi i kod pronalaženja deadlock-a i ostalih nedostataka u programskom kodu. Rezultate skeniranja moguće je prikazati i u EMACS editoru pomoću posebnog PAM (Program Analysis Mode) modula. Ovakav pristup znatno olakšava uklanjanje pronađenih grešaka.

Exodus 200307022-2336

Exodus je besplatni programski paket namenjen ispitivanju sigurnosti Web aplikacija. Princip rada programa zasniva se na ugrađenoj proksi funkcionalnosti koja omogućuje jednostavno presretanje i modifikaciju HTTP/HTTPS sesija i detaljnu analizu i interpretaciju komunikacije između klijenta i Web servera.

Postavljanjem Exodus proksi servera u komunikacioni kanal između Web pretraživača i servera moguće je pregledanje i modifikovanja proizvoljnih parametara komunikacije kao što su: vrednosti Web formi, Web kolačići, zaglavlja HTTP protokola, identifikatori sesija i tako dalje. Ovo je izuzetno praktično u ispitivanju sigurnosti Web programa. Program je u potpunosti napisan u Java programskom jeziku, što ga čini nezavisnim od operativnog sistema na kojem se pokreće.

BHODemon

BHODemon je specijalni alat namenjen upravljanju Browser Helper objektima (BHO) unutar Internet Explorer-a. Iako su BHO objekti prvenstveno zamišljeni kao tehnologija koja treba da olakša upravljanje Internet Explorer-om i proširi njegove osnovne mogućnosti, u praksi se pokazalo da se njihove mogućnosti vrlo često koriste kao deo spyware i ad-aware programa. Zlonamerni BHO objekti najčešće se koriste u cilju neovlašćenog prikupljanja korisničkih podataka i analizu aktivnosti prilikom pregledanja web stranica na Internetu. Ovo predstavlja ozbiljan sigurnosni problem i povredu privatnosti. BHODemon program ispisuje listu svih BHO objekata učitanih unutar Internet Explorera. Uz pregled svih korisnih informacija o izlistanim objektima, korisniku je omogućeno i njihovo ručno onemogućavanje, što program čini izuzetno korisnim alatom u postupcima uklanjanja zlonamernih programa sa sistema.