- 24 Ağu 2009
- 37
- 0
Günümüzde İnternet, pek çok insan için vazgeçilmez bir gereklilik ve alışkanlıktır. Dünyayı saran internet ağına çeşitli yollardan erişmek mümkündür. İnternet Cafe***8217;ler, işyerleri, okullar ya da kişisel bilgisayarlar. İnternete ulaştığınız yol ne olursa olsun sizi bekleyen çok çeşitli tehlikeler mevcuttur. Birileri kişisel bilgisayarınız, kullandığınız network ya da size özel accountlarınız üzerinde hakimiyet kurmuş olabilir. Bu durum, kişisel dosyalarınızın tanımadığınız kişilerin ellerine geçmesinden, bulunduğunuz ortamdaki konuşmaların dinlenmesine, kişisel hesaplarınızın sizin adınıza kötü amaçlarla kullanılmasından, sizi mahkeme koridorlarına taşıyabilecek işlemlere kadar çeşitli belalara neden olabilir. Bu satırları okuduğunuz sırada sizin bilgisayarınız aracılığıyla bir banka hesabına illegal müdahaleler yapılıyor olabilir. İnanın bana bu hiç de paranoyakça bir düşünce ya da komplo teorisinin bir parçası değil. Bu yazıda "Computer Security" için gerekli olan üst düzey bilgileri yeni kullanıcıların da anlayabileceği bir şekilde açıklamaya çalışacağım. Buna rağmen anlayamadığınız terimler ya da açıklamalar olursa 42000000 nolu icq uininden bana ulaşabilirsiniz.
Computer Security için ilk şart bilgisayarınızın açılırken ve açıldıktan sonra yaptığı her işlemin şeffaf olması gerekliliğidir. Normal şartlarda işletim sisteminiz açıldığında hiçbir şüphe çekmeksizin bilgisayarınızı başkalarının kötü amaçlarına sunabilir. Gerekli şeffaflığın sağlanması için başlıca üç fonksiyonun gözlemlenebilmesi gerekir.
1. Start up dosyaları
2. Dosya ve register erişimi
3. TCP/IP trafiği
Bu üç fonksiyonun bilinçli bir şekilde gözlemlenmesi bilgisayarınızı tek kelimeyle kusursuz bir güvenliğe eriştirir. Güvenlik için hiçbir zaman antivirüs programlarına tam olarak güvenmemelisiniz. Bu tür programların koruyucu özelliği bazı durumlarda tamamen ortadan kalkabilmektedir. Şu an kullanımda olan trojanların (bilgisayarların dışarıdan yönetilmesini sağlayan casus programlar) bir kısmı hiçbir antivirüs programı tarafından tespit edilememektedir. Güvenlik konusunu Windows işletim sistemi üzerinde anlatmaya çalışacağım. Çünkü windows hem en yaygın kullanılan hem de en zayıf güvenliğe sahip işletim sistemidir. Eğer internete alternatif bir işletim sistemi üzerinden bağlanıyorsanız yazının geri kalan kısmını genel kültür açısından okuyabilirsiniz. Windows kullanıcılarının ise her kelimesini itinayla okumalarını tavsiye ederim.
1. Start up Dosyaları :
Start up dosyaları bilgisayarınızın her açılışında sizin onayınız ve haberiniz olmaksızın otomatik olarak çalıştırılan dosyalardır. Antivirüs program paketlerinin shield programları, getright ya da netzip gibi download araçları, printer ya da scanner gibi donanımlarınızı yöneten programlar bu yöntemle çalıştırılmaktadır. Ancak bilgisayarınızda trojan ya da bazı pws (password stealer) programları bir defa bile çalıştırılsa kendilerine autostart özelliği kazandıracak bir dizi işlem yaparlar ve her açılışta aktif hale gelirler. Şimdi programların start up özelliği için sisteminizde ne tür değişiklikler yaptıklarını görelim. Programların kendilerini yazabilecekleri yerleri tanıttıktan sonra zararlı programları nasıl tanıyabileceğimizi açıklamaya çalışacağım.
Start up özelliği için en basit yöntem programın başlangıç (start up) klasörüne kısayolunu kopyalamasıdır. Bu klasör
C:WINDOWSProfiles*oturum logininiz*Start MenuProgramlarBaşlangıç
adresinde bulunur. Bu klasöre START menüsünden rahatlıkla ulaşabilirsiniz.
İkinci yöntem programın kendisini
C:WINDOWS
dizinine kopyalayıp windows un yapılandırma ayarlarını düzenleyen dosyalara kendisini yazmasıdır. Bu dosyalar windows klasörü altında yer alan WIN.INI ve SYSTEM.INI dosyalarıdır. Dosyalar ASCII modda olduklarından herhangi bir editör yardımıyla (notepad gibi) açılıp kolayca düzenlenebilirler. Aşağıda söz konusu iki dosyanın start up fonksiyonu için kullanılan bölümlerini görebilirsiniz.
[windows]
NullPort=None
DOSver=3D213E3C6D66
StartUp=3F70
load=
run=
[boot]
oemfonts.fon=vgaoem.fon
system.drv=system.drv
drivers=mmsystem.dll power.drv
shell=Explorer.exe
WIN.INI ve SYSTEM.INI dosyalarının ilgili bölümleri
WIN.INI dosyasında run anahtarı, SYSTEM.INI de ise shell anahtarı start up sırasında çalıştırılacak dosya adını saklı tutar. SYSTEM.INI de Explorer.exe default olarak kayıtlı durumdadır. Yeni bir dosya eklendiğinde Explorer.exe***8217;nin sağ tarafına yazılır.
Üçüncü yöntem programın windows dizinine kopyalandıktan sonra register anahtarlarını kullanarak autostart özelliği almasıdır. Windows register***8217;ı işletim sisteminin ve install edilen program kayıtlarının ve bazı yapılandırma ayarlarının saklı tutulduğu bir yapıdır. Bilgisayarın isminden, faks için kullanılan telefon numarasına kadar bütün bilgilere buradan erişip değişiklik yapmak mümkündür. Register***8217;ı düzenlemek için windows dizini altında yer alan REGEDIT.EXE programını kullanabilirsiniz. Programlar autostart özelliği almak için registry***8217;de çoğunlukla
[HKEY_LOCAL_MACHINESoftwareMi crosoftWindowsCurrentVersion Run]
[HKEY_LOCAL_MACHINESoftwareMi crosoftWindowsCurrentVersion RunServices]
[HKEY_LOCAL_MACHINESoftwareMi crosoftWindowsCurrentVersion RunServicesOnce]
[HKEY_CURRENT_USERSOFTWAREMic rosoftWindowsCurrentVersion Run]
[HKEY_CURRENT_USERSOFTWAREMir abilisICQAgentAppsICQ]
Anahtarlarını kullanırlar. Sisteminizin söz ettiğimiz bölümlerinde birçok program dosyası kayıtlı durumdadır. Bu dosyalar arasından zararlı olanları ayırabilmek biraz dikkat ve birikim ister. Sizlere kolaylık olması açısından normal ve zararlı dosyalar için örnekler vermeye çalışacağım
Örnek Windows Start up dosya listesi
Yukarıda gördüğünüz tablo benim çoğunlukla kullandığım windows profiline ait start up dosyalarımın listesidir. Bu liste her makine için farklılık gösterebilir. Kullandığınız donanımların markası ve cinsi, kullandığınız yazılımlar bu tablonun içeriğini değiştirmektedir. Casus programların registry***8217;de aldıkları isimler programı konfigüre eden kişilerin isteğine göre değişebilir bu nedenle standart bir liste vermek mümkün değildir. Fakat yine de Türkiye***8217;de sık kullanılan trojan serverlarının sisteme yerleştikten sonra default olarak aldıkları isimleri açıklamakta fayda görüyorum.
- systray.dl
- systray.exe (system klasöründeki değil)
- msrexe.exe
- grcframe.exe
Sisteminizde şüpheli bir dosya bulunuyorsa (şüpheli dosyalar konusunu birazdan açıklamaya çalışacağım) ve o dosyanın ismi de start up dosyalarınız arasında yer almışsa, söz konusu dosya şüpheli olmaktan çıkmış ve bilgisayarınızdaki verileri başkalarının hizmetine sunmaya başlamış demektir.
2. Dosya Erişimi :
Bilgisayar sistemleri yazılım olmaksızın çalışmaz. Bu nedenle gerekli yazılımları çeşitli yöntemlerle temin edip bilgisayarımıza yükleriz. Bu işlem bilgisayarımızın güvenliğini tehdit eden faktörlerin başında yer alır. Bu konuda çok yaygın yanılgılar vardır. Özellikle yalnızca executable dosyaların zararlı olabileceği yanılgısı pek çok kişinin başını derde sokmuştur. Sizlere belki çok şaşırtıcı gelebilir ama normal işlevini yapan ve işletim sisteminde hiçbir tuhaf görünüme sahip olmayan bir resim, mp3, midi, txt ya da office dosyası (bu liste hayal gücünüzle sınırlıdır) sistem güvenliğinizi tamamen ortadan kaldırabilir. Dosya ve register erişimini kontrol altında tutabilmek için monitör programlarına ihtiyacınız vardır. Ben FILEMON.EXE ve REGMON.EXE adlarında iki program kullanıyorum. Bu programlar hakkında detaylı bilgileri başka bir yazımda açıklayacağım. Şimdi normal bir dosyayla casus fonksiyonlar taşıyan dosyalar arasındaki görünür farkları incelemeye çalışalım.
I - Yalın Trojanlar
Bu dosyalar .exe uzantılı olurlar. boyutları 30Kb ile 1.5Mb arasında değişmektedir. Popüler olanları 8Kb, 122Kb, 136Kb, 261Kb, 314Kb, 321Kb, 372Kb, 389Kb, 484Kb ve 610Kb boyutlarında karşınıza çıkabilir. İconları olmayabilir, standart executable iconu (üstte mavi şeritli beyaz dikdörtgen), meşale, satellite anten ya da windows logosu iconları söz konusu trojanların yalın halleridir. Bu dosyalar açıldıklarında ya hiçbir şey olmaz ya da sisteminiz hata mesajı verir. Bu işlem sırasında hard diskinizden yoğun sesler gelir ve sisteminiz yavaşlar. Eğer dosya pws dosyası ise ve bilgisayarınız internetde değilse internet connection***8217;ı sağlamaya çalışır. Aşağıda popüler trojan serverlarının yalın haldeki iconlarını görebilirsiniz.
Popüler trojanların default server iconları
II - Birleşik Trojanlar
Bu dosyalar iki programın birleşimidir. Animasyon, e-cart, şaka, utility gibi programlara trojan eklenmesiyle oluşturulur. iconları ya da boyutları standart değildir. Bu dosyalar çalıştırıldığında bir çıktı oluşturmadan önce hard diskinizden yoğun sesler gelir. Eğer dosya pws dosyası ise bilgisayarınız internet connection***8217;ı sağlamaya çalışır.
III - Süslü Trojanlar
Bu dosyalar görünürde .exe uzantılı değildir. iconları media file iconlarına (jpg, gif, bmp vb.) benzetilmeye çalışılmıştır. Ancak orijinal icon gibi davranmazlar. görünüm modu değiştirildiğinde boyutuyla beraber şeklinin değişmesi gereken iconun yalnızca boyutu değişir. Ayrıca bazen transparan olması gereken kısımlarda renkli lekeler bulunmaktadır. Aşağıda orijinal ve taklit icon örneklerini inceleyebilirsiniz.
Computer Security için ilk şart bilgisayarınızın açılırken ve açıldıktan sonra yaptığı her işlemin şeffaf olması gerekliliğidir. Normal şartlarda işletim sisteminiz açıldığında hiçbir şüphe çekmeksizin bilgisayarınızı başkalarının kötü amaçlarına sunabilir. Gerekli şeffaflığın sağlanması için başlıca üç fonksiyonun gözlemlenebilmesi gerekir.
1. Start up dosyaları
2. Dosya ve register erişimi
3. TCP/IP trafiği
Bu üç fonksiyonun bilinçli bir şekilde gözlemlenmesi bilgisayarınızı tek kelimeyle kusursuz bir güvenliğe eriştirir. Güvenlik için hiçbir zaman antivirüs programlarına tam olarak güvenmemelisiniz. Bu tür programların koruyucu özelliği bazı durumlarda tamamen ortadan kalkabilmektedir. Şu an kullanımda olan trojanların (bilgisayarların dışarıdan yönetilmesini sağlayan casus programlar) bir kısmı hiçbir antivirüs programı tarafından tespit edilememektedir. Güvenlik konusunu Windows işletim sistemi üzerinde anlatmaya çalışacağım. Çünkü windows hem en yaygın kullanılan hem de en zayıf güvenliğe sahip işletim sistemidir. Eğer internete alternatif bir işletim sistemi üzerinden bağlanıyorsanız yazının geri kalan kısmını genel kültür açısından okuyabilirsiniz. Windows kullanıcılarının ise her kelimesini itinayla okumalarını tavsiye ederim.
1. Start up Dosyaları :
Start up dosyaları bilgisayarınızın her açılışında sizin onayınız ve haberiniz olmaksızın otomatik olarak çalıştırılan dosyalardır. Antivirüs program paketlerinin shield programları, getright ya da netzip gibi download araçları, printer ya da scanner gibi donanımlarınızı yöneten programlar bu yöntemle çalıştırılmaktadır. Ancak bilgisayarınızda trojan ya da bazı pws (password stealer) programları bir defa bile çalıştırılsa kendilerine autostart özelliği kazandıracak bir dizi işlem yaparlar ve her açılışta aktif hale gelirler. Şimdi programların start up özelliği için sisteminizde ne tür değişiklikler yaptıklarını görelim. Programların kendilerini yazabilecekleri yerleri tanıttıktan sonra zararlı programları nasıl tanıyabileceğimizi açıklamaya çalışacağım.
Start up özelliği için en basit yöntem programın başlangıç (start up) klasörüne kısayolunu kopyalamasıdır. Bu klasör
C:WINDOWSProfiles*oturum logininiz*Start MenuProgramlarBaşlangıç
adresinde bulunur. Bu klasöre START menüsünden rahatlıkla ulaşabilirsiniz.
İkinci yöntem programın kendisini
C:WINDOWS
dizinine kopyalayıp windows un yapılandırma ayarlarını düzenleyen dosyalara kendisini yazmasıdır. Bu dosyalar windows klasörü altında yer alan WIN.INI ve SYSTEM.INI dosyalarıdır. Dosyalar ASCII modda olduklarından herhangi bir editör yardımıyla (notepad gibi) açılıp kolayca düzenlenebilirler. Aşağıda söz konusu iki dosyanın start up fonksiyonu için kullanılan bölümlerini görebilirsiniz.
[windows]
NullPort=None
DOSver=3D213E3C6D66
StartUp=3F70
load=
run=
[boot]
oemfonts.fon=vgaoem.fon
system.drv=system.drv
drivers=mmsystem.dll power.drv
shell=Explorer.exe
WIN.INI ve SYSTEM.INI dosyalarının ilgili bölümleri
WIN.INI dosyasında run anahtarı, SYSTEM.INI de ise shell anahtarı start up sırasında çalıştırılacak dosya adını saklı tutar. SYSTEM.INI de Explorer.exe default olarak kayıtlı durumdadır. Yeni bir dosya eklendiğinde Explorer.exe***8217;nin sağ tarafına yazılır.
Üçüncü yöntem programın windows dizinine kopyalandıktan sonra register anahtarlarını kullanarak autostart özelliği almasıdır. Windows register***8217;ı işletim sisteminin ve install edilen program kayıtlarının ve bazı yapılandırma ayarlarının saklı tutulduğu bir yapıdır. Bilgisayarın isminden, faks için kullanılan telefon numarasına kadar bütün bilgilere buradan erişip değişiklik yapmak mümkündür. Register***8217;ı düzenlemek için windows dizini altında yer alan REGEDIT.EXE programını kullanabilirsiniz. Programlar autostart özelliği almak için registry***8217;de çoğunlukla
[HKEY_LOCAL_MACHINESoftwareMi crosoftWindowsCurrentVersion Run]
[HKEY_LOCAL_MACHINESoftwareMi crosoftWindowsCurrentVersion RunServices]
[HKEY_LOCAL_MACHINESoftwareMi crosoftWindowsCurrentVersion RunServicesOnce]
[HKEY_CURRENT_USERSOFTWAREMic rosoftWindowsCurrentVersion Run]
[HKEY_CURRENT_USERSOFTWAREMir abilisICQAgentAppsICQ]
Anahtarlarını kullanırlar. Sisteminizin söz ettiğimiz bölümlerinde birçok program dosyası kayıtlı durumdadır. Bu dosyalar arasından zararlı olanları ayırabilmek biraz dikkat ve birikim ister. Sizlere kolaylık olması açısından normal ve zararlı dosyalar için örnekler vermeye çalışacağım
Örnek Windows Start up dosya listesi
Yukarıda gördüğünüz tablo benim çoğunlukla kullandığım windows profiline ait start up dosyalarımın listesidir. Bu liste her makine için farklılık gösterebilir. Kullandığınız donanımların markası ve cinsi, kullandığınız yazılımlar bu tablonun içeriğini değiştirmektedir. Casus programların registry***8217;de aldıkları isimler programı konfigüre eden kişilerin isteğine göre değişebilir bu nedenle standart bir liste vermek mümkün değildir. Fakat yine de Türkiye***8217;de sık kullanılan trojan serverlarının sisteme yerleştikten sonra default olarak aldıkları isimleri açıklamakta fayda görüyorum.
- systray.dl
- systray.exe (system klasöründeki değil)
- msrexe.exe
- grcframe.exe
Sisteminizde şüpheli bir dosya bulunuyorsa (şüpheli dosyalar konusunu birazdan açıklamaya çalışacağım) ve o dosyanın ismi de start up dosyalarınız arasında yer almışsa, söz konusu dosya şüpheli olmaktan çıkmış ve bilgisayarınızdaki verileri başkalarının hizmetine sunmaya başlamış demektir.
2. Dosya Erişimi :
Bilgisayar sistemleri yazılım olmaksızın çalışmaz. Bu nedenle gerekli yazılımları çeşitli yöntemlerle temin edip bilgisayarımıza yükleriz. Bu işlem bilgisayarımızın güvenliğini tehdit eden faktörlerin başında yer alır. Bu konuda çok yaygın yanılgılar vardır. Özellikle yalnızca executable dosyaların zararlı olabileceği yanılgısı pek çok kişinin başını derde sokmuştur. Sizlere belki çok şaşırtıcı gelebilir ama normal işlevini yapan ve işletim sisteminde hiçbir tuhaf görünüme sahip olmayan bir resim, mp3, midi, txt ya da office dosyası (bu liste hayal gücünüzle sınırlıdır) sistem güvenliğinizi tamamen ortadan kaldırabilir. Dosya ve register erişimini kontrol altında tutabilmek için monitör programlarına ihtiyacınız vardır. Ben FILEMON.EXE ve REGMON.EXE adlarında iki program kullanıyorum. Bu programlar hakkında detaylı bilgileri başka bir yazımda açıklayacağım. Şimdi normal bir dosyayla casus fonksiyonlar taşıyan dosyalar arasındaki görünür farkları incelemeye çalışalım.
I - Yalın Trojanlar
Bu dosyalar .exe uzantılı olurlar. boyutları 30Kb ile 1.5Mb arasında değişmektedir. Popüler olanları 8Kb, 122Kb, 136Kb, 261Kb, 314Kb, 321Kb, 372Kb, 389Kb, 484Kb ve 610Kb boyutlarında karşınıza çıkabilir. İconları olmayabilir, standart executable iconu (üstte mavi şeritli beyaz dikdörtgen), meşale, satellite anten ya da windows logosu iconları söz konusu trojanların yalın halleridir. Bu dosyalar açıldıklarında ya hiçbir şey olmaz ya da sisteminiz hata mesajı verir. Bu işlem sırasında hard diskinizden yoğun sesler gelir ve sisteminiz yavaşlar. Eğer dosya pws dosyası ise ve bilgisayarınız internetde değilse internet connection***8217;ı sağlamaya çalışır. Aşağıda popüler trojan serverlarının yalın haldeki iconlarını görebilirsiniz.
Popüler trojanların default server iconları
II - Birleşik Trojanlar
Bu dosyalar iki programın birleşimidir. Animasyon, e-cart, şaka, utility gibi programlara trojan eklenmesiyle oluşturulur. iconları ya da boyutları standart değildir. Bu dosyalar çalıştırıldığında bir çıktı oluşturmadan önce hard diskinizden yoğun sesler gelir. Eğer dosya pws dosyası ise bilgisayarınız internet connection***8217;ı sağlamaya çalışır.
III - Süslü Trojanlar
Bu dosyalar görünürde .exe uzantılı değildir. iconları media file iconlarına (jpg, gif, bmp vb.) benzetilmeye çalışılmıştır. Ancak orijinal icon gibi davranmazlar. görünüm modu değiştirildiğinde boyutuyla beraber şeklinin değişmesi gereken iconun yalnızca boyutu değişir. Ayrıca bazen transparan olması gereken kısımlarda renkli lekeler bulunmaktadır. Aşağıda orijinal ve taklit icon örneklerini inceleyebilirsiniz.
