Bilgisayar I Dersler I Web I Uygulamalar I Plan I Müfredat I Video I Ders Anlatım I Güvenlik I Download I Bilişim I Teknoloji I Rehberlik - ANA SAYFA

Bilgisayar Alimi tarafından yazıldı.

Computer Security için ilk þart bilgisayarýnýzýn açýlýrken ve açýldýktan sonra yaptýðý her iþlemin þeffaf olmasý gerekliliðidir. Normal þartlarda iþletim sisteminiz açýldýðýnda hiçbir þüphe çekmeksizin bilgisayarýnýzý baþkalarýnýn kötü amaçlarýna sunabilir. Gerekli þeffaflýðýn saðlanmasý için baþlýca üç fonksiyonun gözlemlenebilmesi gerekir.

1. Start up dosyalarý
        2. Dosya ve register eriþimi
        3. TCP/IP trafiði

Bu üç fonksiyonun bilinçli bir þekilde gözlemlenmesi bilgisayarýnýzý tek kelimeyle kusursuz bir güvenliðe eriþtirir. Güvenlik için hiçbir zaman antivirüs programlarýna tam olarak güvenmemelisiniz. Bu tür programlarýn koruyucu özelliði bazý durumlarda tamamen ortadan kalkabilmektedir. Þu an kullanýmda olan trojanlarýn (bilgisayarlarýn dýþarýdan yönetilmesini saðlayan casus programlar) bir kýsmý  hiçbir antivirüs programý tarafýndan tespit edilememektedir. Güvenlik konusunu Windows iþletim sistemi üzerinde anlatmaya çalýþacaðým. Çünkü windows hem en yaygýn kullanýlan hem de en zayýf güvenliðe sahip iþletim sistemidir. Eðer internete alternatif bir iþletim sistemi üzerinden baðlanýyorsanýz yazýnýn geri kalan kýsmýný genel kültür açýsýndan okuyabilirsiniz. Windows kullanýcýlarýnýn ise her kelimesini itinayla okumalarýný tavsiye ederim.

1. Start up Dosyalarý :

Start up dosyalarý bilgisayarýnýzýn her açýlýþýnda sizin onayýnýz ve haberiniz olmaksýzýn otomatik olarak çalýþtýrýlan dosyalardýr. Antivirüs program paketlerinin shield programlarý, getright ya da netzip gibi download araçlarý, printer ya da scanner gibi donanýmlarýnýzý yöneten programlar bu yöntemle çalýþtýrýlmaktadýr. Ancak bilgisayarýnýzda trojan ya da bazý pws (password stealer) programlarý bir defa bile çalýþtýrýlsa kendilerine autostart özelliði kazandýracak bir dizi iþlem yaparlar ve her açýlýþta aktif hale gelirler. Þimdi programlarýn start up özelliði için sisteminizde ne tür deðiþiklikler yaptýklarýný görelim. Programlarýn kendilerini yazabilecekleri yerleri tanýttýktan sonra zararlý programlarý nasýl tanýyabileceðimizi açýklamaya çalýþacaðým.

Start up özelliði için en basit yöntem programýn baþlangýç (start up) klasörüne kýsayolunu kopyalamasýdýr. Bu klasör

C:\WINDOWS\Profiles\*oturum logininiz*\Start Menu\Programlar\Baþlangýç

adresinde bulunur. Bu klasöre START menüsünden rahatlýkla ulaþabilirsiniz.

Ýkinci yöntem programýn kendisini 

C:\WINDOWS\

dizinine kopyalayýp windows un yapýlandýrma ayarlarýný düzenleyen dosyalara kendisini yazmasýdýr. Bu dosyalar windows klasörü altýnda yer alan WIN.INI ve SYSTEM.INI dosyalarýdýr. Dosyalar ASCII modda olduklarýndan herhangi bir editör yardýmýyla (notepad gibi) açýlýp kolayca düzenlenebilirler. Aþaðýda söz konusu iki dosyanýn start up fonksiyonu için kullanýlan bölümlerini görebilirsiniz.
 

WIN.INI ve SYSTEM.INI dosyalarýnýn ilgili bölümleri 

WIN.INI dosyasýnda run anahtarý, SYSTEM.INI de ise shell anahtarý start up sýrasýnda çalýþtýrýlacak dosya adýný saklý tutar. SYSTEM.INI de Explorer.exe default olarak kayýtlý durumdadýr. Yeni bir dosya eklendiðinde Explorer.exe'nin sað tarafýna yazýlýr.

Üçüncü yöntem programýn windows dizinine kopyalandýktan sonra register anahtarlarýný kullanarak autostart özelliði almasýdýr. Windows register'ý iþletim sisteminin ve install edilen program kayýtlarýnýn ve bazý yapýlandýrma ayarlarýnýn saklý tutulduðu bir yapýdýr. Bilgisayarýn isminden, faks için kullanýlan telefon numarasýna kadar bütün bilgilere buradan eriþip deðiþiklik yapmak mümkündür. Register'ý düzenlemek için windows dizini altýnda yer alan REGEDIT.EXE programýný kullanabilirsiniz. Programlar autostart özelliði almak için registry'de çoðunlukla

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] 

       [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce] 

       [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 

       [HKEY_CURRENT_USER\SOFTWARE\Mirabilis\ICQ\Agent\Apps\ICQ] 

Anahtarlarýný kullanýrlar. Sisteminizin söz ettiðimiz bölümlerinde birçok program dosyasý kayýtlý durumdadýr. Bu dosyalar arasýndan zararlý olanlarý ayýrabilmek biraz dikkat ve birikim  ister.  Sizlere kolaylýk olmasý açýsýndan normal ve zararlý dosyalar için örnekler vermeye çalýþacaðým.

 Örnek Windows Start up dosya listesi

 Yukarýda gördüðünüz tablo benim çoðunlukla kullandýðým windows profiline ait start up dosyalarýmýn listesidir. Bu liste her makine için farklýlýk gösterebilir. Kullandýðýnýz donanýmlarýn markasý ve cinsi, kullandýðýnýz yazýlýmlar bu tablonun içeriðini deðiþtirmektedir. Casus programlarýn registry'de aldýklarý isimler programý konfigüre eden kiþilerin isteðine göre deðiþebilir bu nedenle standart bir liste vermek mümkün deðildir. Fakat yine de Türkiye'de sýk kullanýlan trojan  serverlarýnýn sisteme yerleþtikten sonra default olarak aldýklarý isimleri açýklamakta fayda görüyorum.

       - systray.dl
        - systray.exe (system klasöründeki deðil)
        - msrexe.exe
        - grcframe.exe

Sisteminizde þüpheli bir dosya bulunuyorsa (þüpheli dosyalar konusunu birazdan açýklamaya çalýþacaðým) ve o dosyanýn ismi de start up dosyalarýnýz arasýnda yer almýþsa, söz konusu dosya þüpheli olmaktan çýkmýþ ve bilgisayarýnýzdaki verileri baþkalarýnýn hizmetine sunmaya baþlamýþ demektir.

2. Dosya Eriþimi :

Bilgisayar sistemleri yazýlým olmaksýzýn çalýþmaz. Bu nedenle gerekli yazýlýmlarý çeþitli yöntemlerle temin edip bilgisayarýmýza yükleriz. Bu iþlem bilgisayarýmýzýn güvenliðini tehdit eden faktörlerin baþýnda yer alýr. Bu konuda çok yaygýn yanýlgýlar vardýr. Özellikle yalnýzca executable dosyalarýn zararlý olabileceði yanýlgýsý pek çok kiþinin baþýný derde sokmuþtur. Sizlere belki çok þaþýrtýcý gelebilir ama normal iþlevini yapan ve iþletim sisteminde hiçbir tuhaf görünüme sahip olmayan bir resim, mp3, midi, txt ya da office dosyasý (bu liste hayal gücünüzle sýnýrlýdýr) sistem güvenliðinizi tamamen ortadan kaldýrabilir. Dosya ve register eriþimini kontrol altýnda tutabilmek için monitör programlarýna ihtiyacýnýz vardýr. Ben FILEMON.EXE ve REGMON.EXE adlarýnda iki program kullanýyorum. Bu programlar hakkýnda detaylý bilgileri baþka bir yazýmda açýklayacaðým. Þimdi normal bir dosyayla casus fonksiyonlar taþýyan dosyalar arasýndaki görünür farklarý incelemeye çalýþalým.

I - Yalýn Trojanlar

Bu dosyalar .exe uzantýlý olurlar. boyutlarý 30Kb ile 1.5Mb arasýnda deðiþmektedir. Popüler olanlarý 8Kb, 122Kb, 136Kb, 261Kb, 314Kb, 321Kb, 372Kb, 389Kb, 484Kb ve 610Kb boyutlarýnda karþýnýza çýkabilir. Ýconlarý olmayabilir, standart executable iconu (üstte mavi þeritli beyaz dikdörtgen), meþale, satellite anten ya da windows logosu iconlarý söz konusu trojanlarýn yalýn halleridir. Bu dosyalar açýldýklarýnda ya hiçbir þey olmaz ya da sisteminiz hata mesajý verir. Bu iþlem sýrasýnda hard diskinizden yoðun sesler gelir ve sisteminiz yavaþlar. Eðer dosya pws dosyasý ise ve bilgisayarýnýz internetde deðilse internet connection'ý saðlamaya çalýþýr. Aþaðýda popüler trojan serverlarýnýn yalýn haldeki iconlarýný görebilirsiniz.

Popüler trojanlarýn default server iconlarý 

II - Birleþik Trojanlar

Bu dosyalar iki programýn birleþimidir. Animasyon, e-cart, þaka, utility gibi programlara trojan eklenmesiyle oluþturulur. iconlarý ya da boyutlarý standart deðildir. Bu dosyalar çalýþtýrýldýðýnda bir çýktý oluþturmadan önce hard diskinizden yoðun sesler gelir. Eðer dosya pws dosyasý ise bilgisayarýnýz internet connection'ý saðlamaya çalýþýr.

III - Süslü Trojanlar

Bu dosyalar görünürde .exe uzantýlý deðildir. iconlarý media file iconlarýna (jpg, gif, bmp vb.) benzetilmeye çalýþýlmýþtýr. Ancak orijinal icon gibi davranmazlar. görünüm modu deðiþtirildiðinde boyutuyla beraber þeklinin deðiþmesi gereken iconun yalnýzca boyutu deðiþir. Ayrýca bazen transparan olmasý gereken kýsýmlarda renkli lekeler bulunmaktadýr. Aþaðýda orijinal ve taklit icon örneklerini inceleyebilirsiniz.
 

ACDSee BMP Ýconlarý.
 (soldaki çok kötü bir taklit)

Dosyalar çalýþtýrýldýklarýnda bir þey olmayabilir, hata mesajý verebilir ya da taklit edildikleri media dosyasýnýn fonksiyonlarýný tam anlamýyla gerçekleþtirebilirler. Ancak her 3 durumda da sistemde yavaþlama, hard diskden gelen yoðun sesler ve/veya internet connection'ý saðlama çabasý görülebilir. Bu tür dosyalarýn güvenirliliðini dosya üzerinde sað butona basarak anlayabilirsiniz. karþýnýza çýkan assist menü normalden 3-4 kat daha geniþse dosya, windows üzerinde uzantýsý farklý görünen bir dosyadýr. Ayrýca klasör seçeneklerinin görünüm sekmesinde "Bilinen dosya türlerinin uzantýlarýný gizle" seçeneðini pasif hale getirirseniz windows un extensionlar konusunda sizi yanýltmasýný engellemiþ olursunuz.

IV - Gizli Trojanlar

Bu trojanlar anlaþýlmasý en zor ve en tehlikeli dosyalardýr. uzantýsý .exe deðildir. sisteminizde çalýþmayan bir media file olarak aktif hale geleceði zamaný bekler.  Bu dosyalar özel hedefler için oluþturulur. uzantýsý .exe olmayan dosyayý bulup uzantýsýný deðiþtirip çalýþtýran ve gerektiðinde silen çok küçük .exe, .com, veya .bat dosyalarý ile aktif hale getirilirler. Genellikle program crack dosyalarý, key generator'lar 2. parça için çok ideal programlardýr. Bu dosyalardan korunmak için sisteminizde iþlevini gerçekleþtirmeyen dosyalarý kesinlikle barýndýrmayýn.

V - Self extract zip Trojanlarý

Bu dosyalar .exe uzantýlýdýr ve üzerlerinde default olarak aþaðýdaki icon bulunur.
 

Self extract zip file iconu 

Zip paketi içerisindeki programlarý belirli bir sýrayla ve otomatik olarak çalýþtýrmaya yarayan bu dosya türünün içerisine sisteme gizlice yerleþen bir trojan yerleþtirmek son derece kolaydýr. Bu nedenle bu tür dosyalarý açmadan önce sað butona basýp "Extract to folder..." komutunu vererek içeriðini bir klasöre açmak ve kontrol etmek gerekmektedir.

 

Ýnternet eriþimi saðlamadan önce kullanacaðýnýz programlarý (ICQ dahil) önceden açmanýz ve connection windowlarýný kapatmanýz güvenli bir eriþime zemin hazýrlar. Bilgisayarýnýzýn açýldýktan sonra sizin isteðiniz dýþýnda internete girmeye çalýþmasý þüpheli bir durumdur. Bu isteði onaylamanýz halinde verilerinizi tanýmadýðýnýz kiþilere göndermiþ olabilirsiniz. 

Computer Security için en önemli koþul TCP/IP trafiðini kontrol altýnda tutmaktýr. Bu kontrol için iyi bir firewall kullanmalý ve firewall rule 'larýný  en iyi þekilde düzenlemelisiniz. Bu konuyu detaylý olarak yazýmýn ikinci bölümünde açýklamaya çalýþacaðým. Firewall kurulumunun yaný sýra TCP ve UDP portlarýnýn çalýþma mantýklarý ve iþlevleri de gelecek yazýmýn içeriðinde yer alacak. 

Bu yazýma son verirken deðinmek istediðim birkaç konu var. Öncelikle Hacker'lýðýn güzel, karizmatik ve itibarlý bir sýfat olduðunu asla düþünmeyin. Bir bilgisayar sistemine gizlice girmekle bir eve gizlice girmek arasýnda ahlaki açýdan hiçbir fark yoktur. Hiç kimse size illegal bir siteyi hacklediðiniz için madalya vermez. Benden hiçbir saldýrý amaçlý yardým istemeyin. Bilgisayarýnýzda yukarýda söz ettiðim belirtiler meydana geldiyse ya da daha açýk bir þekilde bilgisayarýnýz sizinle sesli ya da yazýlý iletiþim kurmaya baþladýysa ve fonksiyonlarý sizin kontrolünüzden çýkmaya baþladýysa 42000000 numaralý uinden bana ulaþýn. Bu gibi durumlarda yardým edebilmek için elimden geleni yaparým.

Unutmayýn "güvenlik, huzur için zorunlu bir koþuldur"
 

Computer Security II
(Trojan tespiti ve çözümler)
 

Bu yazýyý önceki yazýmdaki teorik bilgilerin uygulanmasýnda kolaylýk saðlamasý amacýyla yayýmlýyorum. Sisteminizde trojan olduðundan þüpheleniyorsanýz tespit için gerekli bilgileri ve çözüm yollarýný bu yazý yardýmýyla bulabilirsiniz. Trojanlarýn bilgisayar sistemine nasýl yerleþtiklerini anlayabilmek amacýyla hepsini kendi bilgisayarýmda denedim. Bu çalýþmada Dünya underground yazýlým piyasalarýnda popüler olan 4 trojanýn toplam 10 versiyonu ve 2 Türk trojaný olmak üzere toplam 12 popüler trojan hakkýnda bütün detaylý bilgilere yer verilmiþtir. Yazý sitemde sürekli olarak güncellenecektir. Eðer listede yer almayan bir trojanýn yaygýn þekilde kullanýldýðýný tespit ederseniz server dosyasýný bana yollayýn. Birkaç gün içinde trojan hakkýnda detaylý bilgiyi yazýya eklerim.
 

Build Güncelleme Notlarý

BackOrifice1.2 ve 2k UDP portu kullandýklarý için portscan yapýldýðýnda farkedilemezler. Deep Throat ve Truva Atý haricindeki trojanlarýn kullandýklarý portlar trojaný konfigüre eden kiþi tarafýndan deðiþtirilebilir. Subseven Trojaný, tecrübeli kullanýcýlar tarafýndan EditServer programý yardýmýyla çok geniþ bir çeþitlilikte konfigüre edilebilmektedir. Bu trojanýn boyutu, iconu, startup yöntemi, sistemde yerleþeceði dizin ve alacaðý isim, register anahtarýnýn adý ve kullanacaðý port deðiþiklik göstermektedir. Yukarýdaki tabloda verdiðim bilgiler server'ýn default özellikleridir. 

SchoolBus serverý çalýþtýðý bilgisayarýn UDP 44767 portunu da açmaktadýr. BackOrifice, system klasöründe WINDLL.DLL dosyasýný oluþturur. SubSeven'ýn 1.9 dan önceki versiyonlarý SYSTRAY.DL adýyla windows klasörüne yerleþip TCP 1243 portu açarlar. Ayrýca system klasöründe FAVPNMCFEE.DLL dosyasýný oluþtururlar.

 

Build 014 Güncellemesi : 

InCommand 1.5 Trojanýnýn iconu, sistemde alacaðý isim ve kullanacaðý port, edit server programý yardýmýyla deðiþtirilebilmektedir.

GIP 110 Programý, register'da özel bir teknik kullanarak registry'de LM (run) ve LM(RunServices) bölgeleri arasýnda yer deðiþtirebilir. Bu nedenle, bilgisayarýnýzý restart yaptýktan sonra mutlaka DOS ortamýnda açýp program dosyasýný silmelisiniz. Eðer bu iþlem yapýlmazsa Windows yeniden baþlatýldýðýnda program tekrar aktif hale gelebilir. GIP programýnýn iconu deðiþebilir, gönderildiði bilgisayarda windows, system ve temp dizinlerine yerleþebilir, ayný þekilde çalýþtýrýldýktan sonra alacaðý isim de deðiþebilmektedir. Ayrýca GIP trojaný çalýþtýrýldýðýnda taþýyýcý dosyayý silebilme fonksiyonuna da sahiptir. Bu trojan bilgisayarýnýzda çalýþtýrýldýysa hiç zaman kaybetmeden ICQ ve DialUp passwordleri baþta olmak üzere sistemde kullandýðýnýz bütün passwordleri (email, ftp, web-site vb.) deðiþtirmeniz gerekmektedir.

 

Çözüm Yöntemleri

1.Start up Fonksiyonunun iptali

1.1. Registrye Yerleþen Trojanlar

Regedit.exe programýyla

LM (RunServices) için ;

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

LM (run) için ;

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

adresine gidip trojan dosyasýnýn oluþturduðu anahtarlarý sildikten sonra bilgisayarýnýzý restart etmeniz gereklidir.

* Truva Atý trojanýný registry'den temizlemek için öncelikle trojan dosyasýnýn bulunduðu klasörün ismini deðiþtirip bilgisayarýnýzý restart ettikten sonra programý registry den silmelisiniz.

1.2 Yapýlandýrma Dosyalarýna Yerleþen Trojanlar

windows dizini altýndaki WIN.INI ve SYSTEM.INI dosyalarýný notepad'le açýp 

WIN.INI de run= 

SYSTEM.INI de ise shell=  

satýrlarý kontrol edilmelidir. Eþittir iþaretinden sonra yazan dosya ismi yukarýdaki listede yazan isimlerden birisi ya da þüphe uyandýran baþka bir isimse o bölümü silip yapýlandýrma dosyasýný  save ettikten sonra bilgisayarýnýzý restart edin.

2. Executable dosyanýn silinmesi

Registry eriþimi engellenemeyen bir dosyayý windows üzerinde silmeniz olanaksýzdýr. Bu dosyalarý silebilmek için bilgisayarý, low level iþletim sistemi olan DOS kipinde açmak gereklidir. Dos ortamýnda dizin deðiþtirmek için CD dosya silmek için DEL komutlarýný kullanýrýz.

Örnek :

msrexe.exe olarak sisteme yerleþmiþ bir SubSeven trojanýný silmek için.

del c:\windows\msrexe.exe

komutu verilmelidir. silme iþlemi bittikten sonra, dos ortamýna shutdown menüsünden girmiþsek EXIT boot sýrasýnda girmiþsek WIN komutu verilerek windows ortamýna dönülür.

Eðer Firewall kullanmýyorsanýz haftada bir kez windows ve system klasörünüzdeki dosyalarýn listesini ;

dir *.exe /od > liste.txt

komutunu vererek liste.txt dosyasýna oluþturma tarihi sýrasýna göre aktarabilirsiniz. Daha sonra bu dosyayý Notepad programýyla açýp incelemeniz haftalýk deðiþimleri farkedebilmenizi saðlar. Hýzlý bir portscan yardýmýyla bilgisayarýnýzdaki TCP portlarýný haftada bir kez kontrol etmeniz de sistem güvenliðinizi saðlamanýza yardýmcý olur.

 

< Önceki		Sonraki >