THT DUYURU

Bilgisayar Güvenliği Bilgisayar Güvenlik Sistemleri makaleleri, virüs korumasından, güvenlik duvarlarına kadar her şeyin nasıl çalıştığı hakkında bilgilere buradan ulaşabilirsiniz.

chat
Seçenekler

İnternet ortamında buluna tehlikeler

ShaaDooM - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
02/2012
Nereden:
İstanbul
Mesajlar:
1.947
Konular:
623
Teşekkür (Etti):
397
Teşekkür (Aldı):
245
Ticaret:
(0) %
16-01-2013 16:04
#1
İnternet ortamında buluna tehlikeler
Browser bug'ları: Patch'ler ve bilgi kaynakları

Güvenlik boşlukları nedeniyle Microsoft Internet Explorer kullanıcıları tehlike altındadır. Active X bileşenleri ve Active scripting ile hemen hemen tüm işletim sistemi fonksiyonlarını etkileyip zarar vermek mümkün. Internet Explorer'ın ilk bakışta verdiği güvenlik modelinin zaman içinde zayıf noktaları bulundu. Güncel güvenlik bültenleri ve Patch'leri, Microsoft'un sayfasında (http://www.microsoft.com/technet/security/current.asp) bulabilirsiniz. Ne yazık ki bilinmeyen bug'ların sayısı henüz net değil. Bu nedenle şu an mevcut olan update'ler sınırlı güvenlik sağlıyor. Netscape tarafında durum çok kötü. Uzun zamandır Netscape Communicator 4.x için hiçbir aktif ürün bakımı yapılmıyor. Bilinen bug'lar aylardır düzeltilmeden öylece duruyor. Verilerinin güvenliği konusunda endişesi olan kullanıcılar Java ve Java script'i kapatıyor veya daha iyi desteklenen ürünleri kullanmayı tercih ediyorlar.

Netscape Navigator ve Internet Explorer'ın güvenliğini artırmakla uğraşan biri var: Georgi Guninski web sayfasında (http://www.net.bg/~joro) güvenlik açıklarının içerildiği oldukça kapsamlı bir liste sunuyor ve olası zararları sınırlandırmak için ipuçları veriyor.

Sistemdeki güvenlik boşluklarını yamamak

PC'nizin güvenliğini artırmak için birkaç fare tıklaması yeterlidir. Nereden geldiğini bilmediğiniz verilerin bilgisayarınıza yüklenmesine engel olarak Active X kontrolörünün risklerini ortadan kaldırmak mümkün. Active X kontrolörünün uygulanmasını kapatın, Internet Explorer'ın Tools (Araçlar) menüsünden Internet Options'ı (Internet Seçenekleri) seçip Security (Güvenlik) diyalog penceresini tıklayın. Buradan Custom Level'a (Özel Düzey) geçip Active X ile ilgili tüm fonksiyonları devre dışı bırakın.

Active X'e kıyasla skript'ler daha az zararlıdırlar. Ancak bir hacker bilgileri manipüle etmeye başladığında tehlikeli olmaya başlarlar. Örneğin bir java script'i dosya ismini dosyanın gönderildiği forma ekleyebilir. Bu tip kötü sürprizlerle karşılaşmamak için yapılacak tek şey skript'i devre dışı bırakmaktır. Yine Internet Explorer'da Internet Seçenekleri'ne gelip Güvenlik diyalog penceresinden "Özel Düzey / Active scripting (komut dizileri)"ni seçip devre dışı bırakın. Netscape Communicator'da java script'i "Edit / Options / Advanced üzerinden giderek kaldırabilirsiniz.

Virüsler: Arka kapıdan gelen saldırı

Hacker'lar işlerini tesadüfen oluşan browser bug'ları üzerinden yürütmezler. Başka PC'lere girmek isteyenlerin daha iyi seçenekleri vardır. Yabancı bir bilgisayarı tamamen kontrol altına almak için en popüler ve etkili program Back Orifice 2000, kısaca BO2K'dır. BO2K, bilgisayarlara uzaktan erişmeyi sağlayan bir araçtır. Yabancı bilgisayar üzerine bu server programını kurduktan sonra, ekran içeriğini denetlemek, dizinleri listelemek, dosyalar indirmek veya klavye girişlerini (şifreler) öğrenmek çok kolay. Ciddi uzaktan erişimli programların aksine BO2K için bir dizi ek program ve plug-in'ler mevcut. Örneğin "Rottler" programı her açılışta filtre edilen bilgisayarın IP adresini e-mail ile belli bir adrese yollar -böylelikle saldırgan kurbanı ile ilgili bilgilere erişir.

"Silk Rope" 100 Kbyte büyüklüğündeki server programını başka bir exe dosyasında tutar ve böylece mükemmel bir truva atı oluşturur. Böyle hazırlanmış bir programı ilk defa çalıştırdığınızda BO2K Windows dizinini kopyalar, ismini değiştirir ve sistem her başlatıldığında otomatik olarak başlatır. Ancak bu görev çubuğunda belirmez. BO2K, Windows 95'ten itibaren tüm Windows sürümlerinde çalışıyor. Back Orifice Unix üzerinde de çalışıyor. Truva atlarıyla virüs bulaştığında McAfee, Virus Scan veya Norton Antivirüs gibi popüler virüs koruma programları işe yarıyor.

Alternatif olarak kullanabileceğiniz bazı özel programlar vardır, bazısını kısmen Internet üzerinden veya doğrudan http://web.netsysteme.net/trasher/se...ntitrojans.htm adresinden bulabilirsiniz.

Genel olarak dikkat edilmesi gerekenler

Virüs tarayıcı ile uğraşmak zorunda kalmamak için bazı genel şeylere dikkat etmenizi öneririz:

· Geldiği yer, içeriği ve çalışma şekli hakkında bilginiz olmayan e-mail eklerini asla açmayın.

· Sunucusundan veya güvenilir bir kaynaktan almadığınız hiçbir yazılımı kurmayın, bu büyük shareware server'lar için de geçerlidir.

· Yüzde yüz güvenmediğiniz hiç kimseyi bilgisayarınızın başına yalnız oturtmayın.

· Sisteminize virüs bulaştığından şüpheleniyorsanız Internet bağlantınızı kesin ve sisteminizi Tauscan (Tauscan Update) gibi bir temizleme programı ile test edin.

Tehlikeli posta: "Melissa"

Virüsler, bilgisayarlara dosya indirirken veya e-mail ekleri ile Internet üzerinden bulaşır. E-Mail ile yayılma yöntemi en tehlikeli seçenektir. O nedenle asla ve asla bilmediğiniz bir kaynaktan gelen mailleri açmayın. Tanıdığınız göndericilerin maillerini açarken de dikkatli olun.

E-mail yoluyla gelen virüsler ekli dosyalardır

Günümüzde çok yaygın olan virüslerden biri Happy 99'dır (ska virüsü olarak da biliniyor). E-mail eki olarak gelir ve dosyanın ilk kullanımında ekranda havai fişekler belirir. Aynı zamanda ska.ex, ska.dll dosyalarını sisteme yerleştirir ve Internet erişimi için gereken WSOCK32.dll dosyasını değiştirir. Orijinal winsock dosyasının adı wsock32.ska olarak değişir. Ska virüsü, virüs bulaşmış bilgisayarın gönderdiği her e-mail'e otomatik olarak Happ99.exe ekli bir mail daha gönderir. Bilgisayarda yarattığı liste.ska isimli dosya içinde virüsün gönderildiği isimleri tutar ve her alıcıya sadece bir kez virüs gönderilmesini sağlar.

Happy 99, Ocak 1999'dan beri biliniyor ancak hala varlığını sürdürüyor. Bu virüsün bulaşmış olduğu bilgisayarlarda ska dosyasının silinmesi ve winsock.dll'in tekrar kaydedilmesi ile virüs temizlenmiş oluyor.

Virüs programlamak kolaylaştı

Happy 99 dışında, işletim sistemine derinlemesine saldırabilen, yüksek performansa sahip Microsoft Office'in skript dilini kullanan virüsler de vardır. Virüs, dokümanın açılmasıyla makro olarak otomatik çalışmaya başlıyor, bir Word dokümanına bakmanız bile bilgisayarınıza virüs bulaşması için yeterli oluyor. Ayrıca metin ve tablolar da tehlikedir. Buna programlama ve makro skript'leri bağlantılarının dosya virüsü geliştirmekten daha kolay olması da ekleniyor, ki bu nedenden dolayı virüs programcılarının sayısı oldukça arttı.

Virüs saldırısının sonucu olarak e-mail yağmuru

En çok tanınan makro virüsü kuşkusuz "Melissa"dır. Virüs, Word 97 dokümanı üzerinden yayılıyor ve diğer dokümanlara bulaşıyor. Virüs bulaşmış bir dosyayı ilk defa açtığınızda Melissa virüslü bir dokümanı otomatik olarak e-mail ile Outlook adres defterindeki ilk 50 kayda gönderiyor.

Melissa ciddi zararlar vermemesine rağmen kısa sürede içinde dünya genelindeki yayılma hızı nedeniyle yöntem olarak korkutucu. Bu nedenle virüs koruma programları kullanmalısınız, çünkü virüs bulaşmış bir dosya tüm dokümanlara yayılır.

Scripting host ile otomatik bulaşma

Microsoft'un işletim sistemini kullanırken de bazı tehlikeler vardır. Örneğin Active Scripting, mail'lerin uygulanmasında ortaya çıkıyor. Windows 95 (scripting host kurulmuş), Windows 98 ve Windows 2000, Internet Explorer 5.0 ile güvenlik boşluğunun tehdidi altındalar.

Bunu ilk kullanan virüs "Bubbleboy"du. Virüslü e-mail Outlook'ta açılır açılmaz Bubbleboy UPDATE.HTA isimli bir dosya yaratıp bunu "Başlangıçta" dizini altına kaydeder. Bir sonraki Windows açılışında ise dosya harekete geçer ve Bubbleboy'un bir kopyasını Outlook adres defterindeki diğer adreslere gönderir. Daha sonra Bubbleboy dalga geçercesine UPDATE.HTA dosyasının otomatik başlat dizininden silinmesi gerektiğini söyler.

Bubbleboy şu an için sadece İngilizce ve İspanyolca olan sistemlere saldırıyor, çünkü sadece bu otomatik başlatma klasörleri standart olarak programlanmış. Bu güvenlik boşluğu Microsoft tarafından giderilmiş durumda. Patch'i Internet üzerinde bulabilirsiniz: Microsoft Security Bulletin MS99-032 : Patch Available for "scriptlet.typelib/Eyedog" Vulnerability

Güvenli sörf: Saldırganlara karşı korunun

Sisteminizi davetsiz misafirlere ve programlarınızı çökertenlere karşı verimli bir şekilde korumak istiyorsanız karmaşık koruma mekanizmalarını kullanmadan fazla yol alamazsınız. Port tarayıcılar, monitör programları ve kişisel firewall'lar güvenlik boşluklarını bulmaya ve kapatmaya yardımcı olur. Temizleme araçları virüs bulaşmış sistemleri temizlerler. Bunun için pek çok araç seçeneğiniz var. Bu nedenle on-line olan bir PC'nin temel donanımları arasında virüslere karşı koruma programı mutlaka bulunmalıdır. Yazılım indirmek ve e-mail ekleri ile gelebilecek virüslere karşı korunmanın en etkili yolu budur.

Virüs tarayıcınızı seçerken programın indirdiğiniz dosyaları ve e-mail'leri otomatik olarak kontrol ediyor olmasına dikkat edin. Bazı tarayıcılar tamamen truva atları üzerine uzmanlaşmıştır. Bunlara bir örnek daha önce de bahsettiğimiz Tauscan (Outpost Security from Agnitum: Firewall | Internet Security | AntiVirus | Network Security), Back Orifice gibi hack programlarını fark etme ve uzaklaştırma konusunda çok başarılı.

Port tarayıcıları veri hattında nöbet tutar

Bir tarayıcı, virüsü fark ettiğinde geç kalınmış olabilir. Sisteminizin saldırılara karşı korumasız olup olmadığını karmaşık hacker saldırılarını simüle eden bir dizi araç ile test edebilirsiniz. Internet erişimine sahip normal bir PC için bunu yapmak şart değil ancak güvende olduğunuzdan emin olmakta yarar var.

Port tarayıcılar çok işe yararlar çünkü, Internet programları birbirleriyle numaralanmış veri kaleleri üzerinden haberleşirler. Giden postası sunucunuz (SMTP) örneğin Port 25'te sizin mail'inizi bekler, gelen postası sunucusu (POP) ise örneğin Port 10'da. Bir port tarayıcı açık veri kalelerini ve aktif truva atları bulup, bu sayede sisteme girebilmek için hacker'lar tarafından kullanılabilir.

Potansiyel kurban, kendi sistemindeki boşlukları port tarayıcı yardımıyla bulabilir. Pek çok iletişim protokolü-TPC, UDP, KMP- ve 65 binin üzerindeki port adresi olduğundan sadece yüksek performanslı bir program bu işin altından kalkabilir. Netscontrols Pro 2000 (http://www.netscontrols.com) örneğin 64 port'u eş zamanlı tarar ve TCP ve UDP protokollerini kullanır. Açık port'lar üzerinde tanımlı alanlar arayan ancak çok hızlı olmayan bir başka freeware aracı ise IP Tools 2000'dir (http://iban.simplenet.com/prod02.htm).

Karşı tarafta ise monitör programları network trafiğini denetler ve bilgisayarınız ve Internet arasında olup biten tüm aktiviteleri bildirir. Bu utility'lerin yardımıyla bilinmeyen/istenmeyen bağlantıları tanımlamak kolaylaşıyor. X-Netstat (Fresh Software) örneğin hemen ilk bakışta bilgisayarınızın hangi Internet adresi ile görüştüğünü söyler.

"Jammer" sistem kaydındaki girişler ve çalışan tüm sistem süreçleri hakkında bilgi verir. Ayrıca Back Orifice ve Netbus saldırılarına karşı koruyor ve bilinen saldırılarda otomatik e-mail'in saldırgana ve provider'ına gönderilmesine izin veriyor. Tarayıcılar ve monitör program arasındaki kombinasyon Network Associates'ın Cybercop Suite'nda (McAfee?Antivirus, Encryption, Firewall, Email Security, Web Security, Risk & Compliance) sunuluyor. Cybercop Suit simülasyondan hacker saldırılarına kadar test edip zayıf noktaları tamir eder.

Potansiyel tehlike: Hedef tahtası ve isabetler

Herkesin Internet üzerinden saldırıya uğrama riski farklıdır. Bilgi server'ı, şirket ağları ve özel PC sistemlerine göre farklı risk grupları vardır. Aynı şekilde hedefli saldırıdan plansız saldırıya kadar pek çok farklı tehlike vardır. Burada bilgi server'ları ve özellikle web server amatör hacker'ların kendi yeteneklerini sergileyebilme şansları olduğundan en sevdikleri hedeftirler.

Bu sistemler ziyaretçilerle iletişim kurabilen bir dizi erişim imkanı sunarlar. Geniş kapsamlı koruma önlemlerine karşın özellikle popüler server'lar -FBI ve CIA server'larının da ispatladığı üzere sürekli olarak saldırıların kurbanı olurlar.

Zarar, imaj kaybından çok fazla reklamla telafi edilebilecek ekonomik etkilenmeye kadar geniş bir alana yayılır. Bu nedenle klasik Denial of Service saldırısı burada da bir tehlikedir. Server'lar sorgu bombardımanına tutulup yoğunluktan hizmeti devreye sokarlar.

Server Hack'i veri bankasından müşteri verilerine erişmek mümkün olduğunda tehlikeli hale geliyor. Bu yılın Ocak ayında iki server saldırısı kurbanının, yüz binlerce kredi kartı numarası Internet üzerinde yayınlandı. Ancak burada da öne çıkan ciddi bir suç işleme amacından çok yetenekli bir hacker'ın kendini tanıtma isteği ön plandaydı.

Şirket ağları: Profesyonellerin alanı ve ücretli hacker'lar

Bir hacker'ın eğlence amaçlı isteği büyük bir ağ hizmet sunucusunu da hedef alabilir. Büyük firmaların ağ erişimleri bu nedenle kural olarak donanım firewall'u ve özel yazılım ile korunur. Bu koruma mekanizmaları üreticileri, sistemlerini sürekli test etmek ve iyileştirmek için kendi hacker gruplarına sahiptirler.

Ev PC'lerine saldırı daha sık karşılaşılan bir şeydir. Çok pahalı koruma mekanizmaları kurmak yerine önemli verileri Internet PC'nin sabit diski üzerinde bulundurmamak daha mantıklı bir çözümdür. Profesyonel korumanın maliyeti vardır ve Internet'te gezinen kişinin Java Applet'i, Java script ve diğer amaçlı fonksiyonlar gibi eğlenceli özellikler olmadan idare etmesi gerekir. Ancak kimse multimedyadan vazgeçmeyi tercih etmez, bu tıpkı televizyonun siyah beyaz göstermesi gibi bir şeydir.
TROJENLER VE KULLANDIKLARI PORTLAR

port 21 - Back Construction, Blade Runner, Doly Trojan, Fore, FTP trojan, Invisible FTP, Larva, WebEx, WinCrash
port 23 - Tiny Telnet Server (= TTS)
port 25 - Ajan, Antigen, Email Password Sender, Haebu Coceda (= Naebi), Happy 99, Kuang2, ProMail trojan, Shtrilitz, Stealth, Tapiras, Terminator, WinPC, WinSpy
port 31 - Agent 31, Hackers Paradise, Masters Paradise
port 41 - DeepThroat
port 59 - DMSetup
port 79 - Firehotcker
port 80 - Executor, RingZero
port 99 - Hidden Port
port 110 - ProMail trojan
port 113 - Kazimas
port 119 - Happy 99
port 121 - JammerKillah
port 421 - TCP Wrappers
port 456 - Hackers Paradise
port 531 - Rasmin
port 555 - Ini-Killer, NeTAdmin, Phase Zero, Stealth Spy
port 666 - Attack FTP, Back Construction, Cain & Abel, Satanz Backdoor, ServeU, Shadow Phyre
port 911 - Dark Shadow
port 999 - DeepThroat, WinSatan
port 1001 - Silencer, WebEx
port 1010 - Doly Trojan
port 1011 - Doly Trojan
port 1012 - Doly Trojan
port 1015 - Doly Trojan
port 1024 - NetSpy
port 1042 - Bla
port 1045 - Rasmin
port 1090 - Xtreme
port 1170 - Psyber Stream Server, Streaming Audio trojan, Voice
port 1234 - Ultors Trojan
port 1243 - BackDoor-G, SubSeven, SubSeven Apocalypse
port 1245 - VooDoo Doll
port 1269 - Mavericks Matrix
port 1349 - BO DLL
port 1492 - FTP99CMP
port 1509 - Psyber Streaming Server
port 1600 - Shivka-Burka
port 1807 - SpySender
port 1981 - Shockrave
port 1999 - BackDoor, TtansScout
port 2000 - TransScout
port 2001 - TransScout
port 2001 - Trojan Cow
port 2002 - TransScout
port 2003 - TransScout
port 2004 - TransScout
port 2005 - TransScout
port 2023 - Ripper
port 2115 - Bugs
port 2140 - Deep Throat, The Invasor
port 2155 - Illusion Mailer
port 2283 - HVL Rat5
port 2565 - Striker
port 2583 - WinCrash
port 2600 - Digital RootBeer
port 2801 - Phineas Phucker
port 2989 - RAT
port 3024 - WinCrash
port 3128 - RingZero
port 3129 - Masters Paradise
port 3150 - Deep Throat, The Invasor
port 3459 - Eclipse 2000
port 3700 - Portal of Doom
port 3791 - Eclypse
port 3801 - Eclypse
port 4092 - WinCrash
port 4321 - BoBo
port 4567 - File Nail
port 4590 - ICQTrojan
port 5000 - Bubbel, Back Door Setup, Sockets de Troie
port 5001 - Back Door Setup, Sockets de Troie
port 5011 - One of the Last Trojans (OOTLT)
port 5031 - NetMetro
port 5321 - Firehotcker
port 5400 - Blade Runner, Back Construction
port 5401 - Blade Runner, Back Construction
port 5402 - Blade Runner, Back Construction
port 5550 - Xtcp
port 5512 - Illusion Mailer
port 5555 - ServeMe
port 5556 - BO Facil
port 5557 - BO Facil
port 5569 - Robo-Hack
port 5742 - WinCrash
port 6400 - The Thing
port 6669 - Vampyre
port 6670 - DeepThroat
port 6771 - DeepThroat
port 6776 - BackDoor-G, SubSeven
port 6912 - Shit Heep (not port 69123!)
port 6939 - Indoctrination
port 6969 - GateCrasher, Priority, IRC 3
port 6970 - GateCrasher
port 7000 - Remote Grab, Kazimas
port 7300 - NetMonitor
port 7301 - NetMonitor
port 7306 - NetMonitor
port 7307 - NetMonitor
port 7308 - NetMonitor
port 7789 - Back Door Setup, ICKiller
port 8080 - RingZero
port 9400 - InCommand
port 9872 - Portal of Doom
port 9873 - Portal of Doom
port 9874 - Portal of Doom
port 9875 - Portal of Doom
port 9876 - Cyber Attacker
port 9878 - TransScout
port 9989 - iNi-Killer
port 10067 - Portal of Doom
port 10101 - BrainSpy
port 10167 - Portal of Doom
port 10520 - Acid Shivers
port 10607 - Coma
port 11000 - Senna Spy
port 11223 - Progenic trojan
port 12076 - Gjamer
port 12223 - Hack«99 KeyLogger
port 12345 - GabanBus, NetBus, Pie Bill Gates, X-bill
port 12346 - GabanBus, NetBus, X-bill
port 12361 - Whack-a-mole
port 12362 - Whack-a-mole
port 12631 - WhackJob
port 13000 - Senna Spy
port 16969 - Priority
port 17300 - Kuang2 The Virus
port 20000 - Millennium
port 20001 - Millennium
port 20034 - NetBus 2 Pro
port 20203 - Logged
port 21544 - GirlFriend
port 22222 - Prosiak
port 23456 - Evil FTP, Ugly FTP, Whack Job
port 23476 - Donald Dick
port 23477 - Donald Dick
port 26274 - Delta Source
port 29891 - The Unexplained
port 30029 - AOL Trojan
port 30100 - NetSphere
port 30101 - NetSphere
port 30102 - NetSphere
port 30303 - Sockets de Troi
port 30999 - Kuang2
port 31336 - Bo Whack
port 31337 - Baron Night, BO client, BO2, Bo Facil, BackFire, Back Orifice, DeepBO
port 31338 - NetSpy DK ,Back Orifice, DeepBO
port 31339 - NetSpy DK
port 31666 - BOWhack
port 31785 - Hack«a«Tack
port 31787 - Hack«a«Tack
port 31788 - Hack«a«Tack
port 31789 - Hack«a«Tack
port 31791 - Hack«a«Tack
port 31792 - Hack«a«Tack
port 33333 - Prosiak
port 33911 - Spirit 2001a
port 34324 - BigGluck, TN
port 40412 - The Spy
port 40421 - Agent 40421, Masters Paradise
port 40422 - Masters Paradise
port 40423 - Masters Paradise
port 40426 - Masters Paradise
port 47262 - Delta Source
port 50505 - Sockets de Troie
port 50766 - Fore, Schwindler
port 53001 - Remote Windows Shutdown
port 54320 - Back Orifice 2000
port 54321 - School Bus, Back Orifice 2000
port 60000 - Deep Throat
port 61466 - Telecommando
port 65000 - Devili

İyi günler.

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler