|
A) VİRÜSLER:
A.a) Virüslerin Tarihi
lk virüs ne zaman, nerede ortaya çıktı?
Bir programın başka bir bilgisayara aktarılması ve bulaşması fikri
1970’lere kadar gitse de 1987 yılında Delaware üniversitesinde birkaç
düzüne diskette ortaya çıkan “brain”(beyin) adlı virüs ilk virüs olarak
kabul edilir.
A.b) Virüs Nedir?
Günümüzde “bilgisayar virüsü” tanımlaması
artık belâ ile eş anlamlı tutulmaktadır. En basit şekilde bilgisayar
virüsleri boyut olarak çok küçük program parçacıkları olup çoğu zaman
kendi başlarına bulunmamaktadırlar. Saklanma amacıyla kendilerini genelde
yayılabilecekleri yani çalıştırılabilir dosyaların arkasına eklerler.
Belleğe yerleşen ve çalıştırılabilen
programlara kendini ekleyen, yerleştiği programların yapısını değiştiren
ve kendi kendini çoğaltabilen kötü amaçlı programlara virüs denir. Virüs
genellikle assembler (makine dili) programlama dili ile hazırlanmış
kapasiteleri birkaç byte ile 3 KB (kilobyte) arasında olabilen
programlardır. Virüslerin boyutlarının küçük olmasının nedeni fazla dikkat
çekici olmamaları içindir.
Bilim teknik dergisinin 1998 mayıs
sayısında yapılan bir araştırmaya göre 3551 tane virüs temel alındığında
virüslerin ortalama boylarının 1198 byte olduğu görülmüştür.
Bilgisayar virüsleri ve benzeri yazılımlar
bütün yasalara uygun yazılımlara karşı tasarlanmıştır. Virüsler ev sahibi
programların içine gizlenerek kullanıcının isteği dışında belleğe yüklenir
ve çalışırlar.
Aktif hâle geldiklerinde yapacakları iş
için kullanıcıdan ne izin alırlar nede uyarırlar. Virüsler herhangi bir
hata ile karşılaştıklarında hata mesajını görüntülemeden kullanıcıya
ilişkin koşulları düzeltmesine olanak sağlamadan hatayı kendisine uygun
olarak düzeltir veya düzeltmeye çalışırlar.
“Yapabildiğim her şeyin daha iyisini
yaparım” espirisi bir anlamda bilgisayar virüsleri dünyasında geçerlidir.
Sonuç olarak virüsler, bilgisayara ve
dosyalara zarar verme potansiyeline sahip ve bu amaçla yazılmış
programlardır. Yani bilgisayara neleri hangi şekilde yapmaları gerektiğini
kendi amaçları doğrultusunda yanıltarak yanıltarak söyleyen komutlar
dizisi diye ifade edilebilir.
Virüsler bilgisayarımızda “boot”sektörü
dediğimiz harddisk bilgileri indeksi kısmına saklanırlar.
Günümüzde bilinen virüslerin çoğu eski
Sovyetler Birliği, Bulgaristan, Almanya ve Amerika’da yazılmıştır.
Bulların yazarları da genellikle gençler ve üniversiteli öğrencilerdir.
Kullanıcılar bilgisayar virüsleri ile
hedef sistem (kendi sistemleri) arasındaki teknik diyaloğun ayrıntıları
ile ilgilenme isteği duymazlar. Temeldeki amaçları güvenli bilgi işlem
çalışmaları yapma ve onları anlamadır. Ancak, bilgisayarınızın içinde
neler olduğu konusunda bir düşünce sahibi olmanız yeterlidir. Amaç olarak
yazılımı, verileri ve dosyaları düşünmek bilgisayarınızın değil sizin
sorumluluğunuzdur. Bu amaçlara ulaşma yollarının denetimini, ancak
sisteminizin korunması konusunda bilgi edinmeye istekli olduğunuz ve bu
uğurda enerji ve zaman harcadığınız zaman elinizde tutabilirsiniz.
A.f) Bilgisayar virüslerinin zararları
nelerdir?
Virüsler sonuçta verecekleri zarara göre
ya ilk çalıştırmada faaliyete geçerler yada olabildiğince yayılmayı
bekleyip toplu zarar verme yolunu seçebilirler.türleri ne olursa olsun
virüslerin amacı o bilgisayara bir yoldan zarar vermektir.bunlar nelerdir?
1)disketleri
formatlayabilir,kopyalayabilir.
2)dosyaların adlarını
silip veya değiştirebilir.
3)başka
bilgisayarların belleğine dosyaları yükler veya belleklerinden dosyaları
silebilir.
4)programın
işleyişinde aksaklıklar getireceği gibi bilgisayarın çalışmasını
engelleyerek
veya bozarak zarar
verebilirler.örneğin Çernobil virüsü gibi.anakart üzerinde bulunan bios
giderek bios programının çalışmasını durdurmuş bilgisayarın açılmasını
engellemiştir.
5)bilgisayarda
yavaşlama kilitlenme ve bazen dosyaların bozulmasına neden olurlar.
6)harddiskin
formatlanmasına biosların silinmesine neden olurlar.vb. gibi virüslerin
bir çok zararı vardır.
A.e) Bir bilgisayarda virüs belirtileri
nelerdir?
Bilgisayarınız açılmıyor
mu? Belkide bilgisayarınıza virüs bulaşmıştır.Ancak sunuda unutmamak
gerekir.bilgisayar ile ilgili sorunlara neden olan her zaman virüs
olmayabilir.donanım config.sys veya autoexec.bat dosyalarındaki
değişiklikler yada kullanıcı hataları da buna neden olabilir.bir
bilgisayardaki virüsün belirtileri şunlardır;
a)program yüklemeleri
normalden daha fazla zaman alır.
b)disk alanları
azalır.
c)bozuk sektör artar.
d)mevcut ram sürekli
azalır.
e)programların normal
çalışmaları bozulur.
f)kendilerine ait
olmayan hata mesajları görüntülerler.
g)ekranda ilginç
şekil ve karikatürler oluşur.
h)dosyalar kaybolur.
I)dosya bilgileri
değişir.(uzantısı,adı,tarihi gibi)
k)nasıl oluştuğu
bilinmeyen dosya ve dizinler belirir.
Bilgisayarımın virüs
kapıp kapmadığını nasıl anlarım? Bunu Saptayan Programlar Var mı?
Eğer
bilgisayarınıza virüs bulaşmışsa, bu durumda bilgisayarınızda normal
olmayan bazı durumlar gözlemleyebilirsiniz. Bazı virüsler, isimleri ile
ilgili bir mesajı ekranınıza getirebilir. Bazıları makinanızın çalışmasını
yavaşlatabilir, ya da kullanılabilir hafızasını azaltır. Bilgisayarınızın
virüs kapıp kapmadığını saptayan anti-virüs programları vardır. Bu
programlar, bilgisayarınızın virüs kapabilecek her tarafını tararlar. Bu
programların virüs saptama yöntemleri 2 türlüdür:
1-Kendi
veritabanlarındaki virüslerin çalışmasını sağlayan bilgisayar
programı
parçalarını bilgisayarınızda ararlar.
2-Programlarınızı, virüs olabilecek zararlı kodlara karşı analiz
edebilirler.
Günümüzdeki popüler anti-virüs programlarının veri tabanlarında 1000lerce
virüs imzası ve bunların çeşitleri vardır. Bu veri tabanları, yeni çıkan
virüsleri de ekleyerek sık aralıklarla güncellenir. Bütün virüs
programları 3 temel işleve sahiptir :
1-Virüs
Arama, bulma (virus scanner)
2-Bulunan
virüsü temizleme (virus cleaner)
3-Bilgisayarınızı virüslerden korumak için bir koruyucu kalkan oluşturma (virus
shielder)
Virüs
kalkanları, bilgisayarınız her açıldığında kendiliğinden devreye giren ve
yeni bir program çalıştırdığınızda veya programı bilgisayarınıza
kopyaladığınızda bunları kontrol eden ve tanımlayabildiği virüs bulursa
sizi uyaran ve virüs temizleme modülünü harekete geçirebilen araçlardır.
A.d) Herhangi bir yazılımın virüs
olabilmesi için ne gibi özelikleri olmalıdır?
1)Çalıştırılabilir
olmalı(aktif)
2)Kendi kendini kopyalayabilmeli(çoğalma ,yayılma)
3)Diğer program ve
komutları kendi isteği doğrultusunda yönetebilmeli(kod değiştirme
özelliğinden dolayı)
4)Kendini
yenileyebilme
5)Kendini
saklayabilme
6)Kendini
gizleyebilme
gibi özeliklere sahip
olmalıdır.
Bilgisayar Virüslerinin
Çeşitleri
Bilgisayarlar hızla
hayatımızın bir parçası haline gelirken bu sevimli makinalarla birlikte
kimi olumsuzluklar da kapımız çalıyor. Bu davetsiz misafirlerin başında
ise bilgisayar virüsleri geliyor ; ancak pek çok kişi özellikle de yeni
bilgisayar kullanıcıları bu konuda pek bilgili değil. Hatta pek çoğumuz
Hollywood yapımı bilimkurgu filmler sonucunda onların canlı organizmalar
olduğunu bile düşündük. Fakat bilgisayar virüslerinin canlı olması (ve de
kullanıcılara hastalık bulaştırması!) söz konusu değil!!
Çünkü onlarda sadece küçük birer yazılımdır.
Tabii ki bunlar diğer bilgisayar yazılımlarından biraz farklılar. Bu
farkların başında kendilerini kopyalamaları geliyor. Tıpkı biyolojik
virüslerin DNA'lar ile çoğalmaları gibi bilgisayar virüsleri de
kendilerini başka programlara ya da boot'a kopyalayarak çoğalırlar. Diğer
bir özellikleri ise çalışmaları için kullanıcıya bağlı olmamaları yani
aktif bir yapıya sahip olmaları. Böylelikle kullanıcının onayını ya da
emrini beklemeden hareket ederler. Bilgisayar sistemlerine zarar vermeleri
de kullanıcının istemediği zamanlarda istemediği şeyler yapmasıyla olur.
Virüsler varlıklarını devam ettirebilmek amacıyla sürekli olarak
kendilerini kopyalarlar ve böylelikle tüm dünyadaki bilgisayarlara yayılma
şansı bulurlar.
Her geçen gün
virüslerin sayısı katlanarak artıyor. 1983 yılında bilgisayar virüslerine
isim babalığı yapan Friedrich Cohen bile onların gün gelip de onbinlerle
ifade edileceğini düşünmemişti herhalde. Ancak bugün sayıları giderek
artıyor ve bunun temelinde de psikolojik durumları hala tartılaşılan
bilgisayar programcıları geliyor! Kimileri aşklarını duyurmak, kimileri
nükleer denemeleri protesto etmek, kimileri ise sadece eğlence amacıyla
virüs yazıyor. Bir bilgisayar virüsü programlamak için sanılanın aksine
bilgisayar dehası olmaya gerek yok, sıradan bir programcı hatta
programcılığa meraklı 9-10 yaşlarında bir velet bile rahatça bir virüs
yapabilir. Fakat virüsünün dünyaya yayılp, adını duyurması virüsün kaynak
kodununun (source code) kalitesine bağlıdır. Virüsleri kabaca dört grupta
inceleyebiliriz. File (Dosya), Trojan (Truva), Makro ve Boot virüsleri.
1) Dosya (File) virüsleri :
Bunlar ise
çalıştırılabilir programlara (uzantıları . exe, . com gibi olanlar)
bulaşırlar ve bunlardan diğer dosyalara kendilerine kopyalarlar.
Böylelikle de bulaştıkları dosyanın uzunluğunu artırırlar; ancak günümüzde
dosya uzunluğunu artırmadan da bulaşan virüsler var. Virüs eklentisi
genellikle dosyanın sonunda ve nadiren de ortasında olur. Virüs hafızada
kalabilir (resident virus) ya da doğrudan çalıştırıldığında (direct action
virus) etki gösterebilir.
Ya da her
iki özelliği de kullanabilir.
2) Boot Sektör’e Bulaşanlar:
Yaklaşık
on yıldır boot sektör virüsü PARITY.B ortalarda dolaşıyor.Gerçi virüs
normal olarak hasar verici fonksiyonlara sahip değil. Ancak Master Boot
Record (MBR) kaydının ve her sabit diskin partition (disk bölümü)
tablosunu üzerine yazarak NTFS dosyası sistemine kurulu Windows NT
bilgisayarlarını kullanılmaz hale getirirler. Her boot sektörü virüsü
Master Boot Record (MBR) alanına kendini saklar. Boot edilecek işletim
sistemini ararken bilgisayar BIOS’u sistem açısından sabit diskin ilk
sektörüne atlar, Yani MBR’ye virüs bulaşmışsa virüs kodu işletim
sisteminden önce yüklenmiş olacaktır. Virüs kendini ana belleğe kopyalar.
Bilgisayar kapatılana kadar kendini orada kalır ve tüm sistem
Iterrupt’larını (Kesme İsteklerini) kendi koduna iletir. Bu şekilde virüs
disket, zip disk ve harici disk erişimlerini yakalar ve bunların boot
sektörüne de bulaşır.
Önlemler : Aşağıdaki güvenlik
kurallarına dikkat ediniz.
·
BIOS’taki virüs korumasını
etkinleştirin
·
BIOS’taki boot sırasını
değiştirin. Bu şekilde sistemin sürücüde unutulmuş bir disketten
açılmasını önlemiş olursunuz.
·
Her disket mümkün olduğunca
yazmaya karşı korumalı olarak sürücüye yerleştirin.
·
Güncel Anti-virüs
yazılımlarını kullanın ve yabancı disketleri kullanmadan önce virüs
taraması yaptırın
3) Trojanlar (Truva Atları):
Trojanlarla, saldırganların amacı daha çok
bazı şifreleri ele geçirmek, internet servis sağlayıcınızın bağlantısı
gibi. Bu programlara trojan (Truva atları ) denmesinin nedeni ise
bilgisayar trojanın faydalı bir program (Örneğin: Ekran koruyucusu veya
On-Line araç) arkasına gizlenerek sisteminize girmesi ve sizi bir bakıma
içerden vurması tıpkı truva savaşında on yıl sonunda ancak devasa bir at
içerisinde en iyi savaşçıların şehri ele geçirebilmesi gibi.
Trojanın varlığından habersiz ve korumasız
kullanıcı programı çalıştırdığında ya programın kendisinden beklenen işlem
yerine getiriliyor veya hiçbir şey ifade etmeyen bir hata mesajı
veriliyor. Ancak arka planda zararlı bir kod çalışmaya devam ediyor. Bu
yüzden truva atları aslında gerçek bir virüs değiller, zira sadece
sistemimize zararlı bileşenleri sokmaya çalışan bir taşıma aracıdır.
Önlemler: Aşağıdaki
güvenlik kurallarına dikkat ediniz.
·
Güncel Anti-virüs
yazılımlarını kullanın
·
E-mail ile aldığınız
programları çalıştırmayın tanıdık birinden gelse bile
·
Çok uzantısı olan dosyaları
asla açmayın ( Örneğin: Resim.bmp.exe)
4) Backdoor:
Oldukça tanınan Hacker grubu “Cult Of The
Dead Cow” 1998 ortasında Windows yüklü bilgisayarlar için uzaktan kumanda
ispiyonlama sağlayan BackOrifice adında bir program çıkardılar.
BackOrifice’ın bu ilk versiyonu ( günümüzde birçok sürümü var) kurbanın
bilgisayarına bir server kuruyor ve Hackerlar buna bir Unix aracı olan
Telnet ile bağlanabiliyorlar. Sisteme giren Hacker artık sistemin tüm
kontrolünü eline geçirebiliyor ve kurbanın neler yaptığınıda takip
edebiliyor. Ayrıca sisteme müdahele edip, dosyaları silebiliyor ve
programları çalıştırabiliyor. Backorfice bir çeşit backdoor (arka kapı),
yani trojanların bir alt türü . Backdoorlar kurbanın sistemine gizlice
giren ve kullanıcının haberi olmadan bağlantı kuran programlardır.
İnternet üzerinden saldırganlar bu elektronik arka kapıdan hedef
bilgisayara bağlanıp dosyaları silebiliyor ve hatta tüm sabit diski
formatlıyabiliyor. Bir backdoor çoğunlukla faydalı bir program şeklinde
geliyor veya yayılmak için bir worm(solucan) mekanizması kullanıyor.
Önlemler:
Aşağıdaki güvenlik kurallarına dikkat ediniz.
·
Güncel Anti-virüs
yazılımlarını kullanınız
·
Çoklu uzantısı olan
dosyaları asla açmayın (Örneğin, Resim.bmp.exe)
·
İnternet’ten gelen
erişimleri bloke eden Personel Firewall kullanın
5) Makro Virüsleri:
Amerikalı David Smith tarafından yazılan ve 1999’un başında
kısa zamanda binlerce Windows bilgisayarını ve mail sunucusunu melisa
makro virüsü, bu tür virüslerinde ne kadar etkili olabileceğine iyi bir
örnektir. Bu word makro virüsü Outlook adres defterindeki elli kayda
kendini gönderiyor ve daha sonra dökümanların ve sistem kaydının içeriğini
değiştiriyordu. Makro virüsleri günümüzde en çok yayılan virüs çeşidi.
Bunlar Ms Office’nin makro fonksiyonlarını kullanıyorlar ve Office
dökümanlarının alış verişinde kurbanın sistemine bulaşıyorlar bir düğmeye
tıklandığında veya doküman açıldığında virüs ( İşine) başlıyor. Virüs
programcıları çoğunlukla AutoOpen makrosunu kullanmayı seviyorlar. Bu
makro bir word dökümanı açılırken otomatik olarak çalıştırılır. Virüs
böylece belleğe geçer ve hemen üzerinden çalışır. Her dökümana bir
normal.dot şablon dosyasına bulaşır. Makrolar çoğunlukla kolay öğrenebilen
ve Ms Office 97’den itibaren gelen Visual Basic for Aplication(VBA)
dilinde yazılır. Ancak Word 6.0 için bile makro virüsleri mevcuttur.
Mesela Nop.de
Neyse ki bu virüsler yayılmaktan başka bir zarara sahip değillerdir.
Önlemler:
Makro virüslerinden korunmak
için aşağıdakileri yapmalısınız.
·
Açmadan önce tüm
dökümanları virüs kontrolünden geçirin
·
Programların
kendilerine ait makro korumalarını etkinleştirin (MS Office’de
“Araçlar-Seçenekler-Genel(ve-ya Makro))
·
Güvenlik altında
günümüzde maalesef bu şeçeneğide geri alan virüsler mevcut; sadece ilk
açılışta bir uyarı mesajı geliyor.
·
E-mail ile
aldığınız hiçbir dökümanı açmayın.
6) Skript Virüsleri:
Elektronik bir aşk mektubu ardına gizlenerek loverletter
skript virüsü yüz binlerce bilgisayar bulaşmış ve kurbanın
bilgisayarındaki dosyaların yazmış ve kullanılmaz hale getirmişti. Tabi
kendisini başka kullanıcılarada gönderdikten sonra Windows ile birlikte
gelen programların yaygın olarak kullanılması ve kullanıcıların
dikkatsizliği bu virüsün çok çabuk yayılmasına ve bilinen sonuçlara neden
oldu.
Hem Internet Explorer hem de Outlook Express, Visual Basic ile
programlanmış skriptlerle doğrudan işletim sistemi ile çalışabiliyorlar.
VBScript sistem
kaydına (Registry) ve dosyalar erişime olanak tanıyor. Skriptler bir WWW
sayfası veya elektronik posta eklentisi açılırken etkin hale geliyorlar.
Bu Skript desteği mesela bir problem çözümü için otomatik olarak sistem
bilgilerini içeren bir E-mail’i yazılım firmalarının destek bölümüne
gönderilmesi için düşünülmüş ancak Internet Explorer ve Outlook’un
saldırıya açık bu yanlarından Hackerlarda dosyaları silmek ve sabit
diskleri formatlamak için faydalanıyorlar. Loveletter’da olduğu gibi.
Visual Basic Script’i öğrenmek kolay olduğu için her gün yeni skript
virüsleri ortaya çıkıyor. Bunlar çoğunlukla solucan (Worm) olarak
kurbanların bilgisayarlarına giriyorlar.
Önlemler:
Aşağıdaki güvenlik
önlemlerini dikkatle inceleyiniz.
·
Güncel
Anti-virüs yazılımlarını kullanın
·
E-mail
eklentisi olarak aldığınız hiçbir programı çalıştırmayınız.
Tanıdık birinden gelse bile
·
Çoklu uzantısı
olan dosyaları asla açmayınız.
Örneğin; Loveletter.txt.vbs.
·
Her zaman bir
Internet programının en güncel sürümünü kullanın
·
En yeni Outlook
güvenlik yamasını kurun.
7) Worm :
QAZ virüsü yerel ağda
yazılabilir paylaşılımına açılır sistem dizinlerin tarar. Daha sonra
Notepad.exe olarak buralara kendini gizlemiş bir şekilde kopyalar. Hedef
bilgisayarda bir sonraki text editör açılışında virüsten nasiplenir. QAZ
tipik bir solucandır. Solucanlar ağdan bir bilgisayardan başka bir
bilgisayara kendini aktaran küçük programlardır. Bu aktarma E-mail ekiyle
ya da yerel ağda paylaşıma açılmış windows dizinlerine kopyalanarak
gerçekleşir. Çoğalma rutininin yanında çoğu solucan asıl zararlı
fonksiyonuna sahip bir virüste içerirler. Melissa veya Loveletter gibi
bilinen makro veya skript virüsleri solucan olarak yayılırlar. Solucan
programlamada yaygın olarak kullanma IRC Chat programının içindeki
güvenlik açıklarından faydalanmakta oldukça sevilir. Bu solucanlarda
zararlılar otomatik olarak bir kanala girerken yayılırlar. Solucanların
yayılmasında eksik güvenlik önlemlerinin etkisi büyüktür. Mesela şifresiz
sürücü paylaşımları ve ya güvenlik açıkları olan eski yazılımları
kullanmak.
Önlemler: Aşağıdaki güvenlik kurallarına dikkat ediniz.
·
Güncel Anti-virüs
yazılımlarını kullanın
·
Her zaman bir
Internet programının en güncel sürümünü kullanın
·
En yeni Outlook
güvenlik yamasını kurun.
·
Windows
sürücülerini sadece etkili bir şifre korumasıyla paylaşıma açın
CIH (Cernobil)
virüsü nedir?
CIH (Cernobil),
virüsü sadece Windows95 ve Windows98 altında çalışan, bulaşıcı ve çok
yaygın bir bilgisayar virüsüdür.
CIH Dos, NT , OS/2 gibi işletim sistemlerinde çalışmaz.
CIH isimli Cernobil diye bilinen virüsün diğer isimleri ise şöyledir:
PE_CIH, CIHV, SPACEFILLER, WIN32.CIH, CHERNOBYL, TSHERNOBYL, TSERNOBYL
CIH
virüsünün tarihi:
Bu virüs
Haziran 1998de Tayvan'da çok yaygın olarak bulundu. Virüsü yazan kişi,
yerel bir internet konferansında virüsü faydalı bir program diye gönderdi.
Bir hafta içinde virüs, Avusturya, Avustralya, İsrail, İngiltere'de
bulundu. Ayrıca bir çok ülkede de tespit edildi (İsviçre, İsveç,
USA,Rusya, Şili).
CIH virüsü
nasıl çalışır, bulaşır?
CIH
virüsü, sadece Windows95 ve Windows98 executable ( .EXE uzantılı)
dosyalarına bulaşır. Virüslü bir .exe dosyası çalıştırılıp virüs hafızada
aktif olduğu zaman sistemde çalıştırılan diğer WIN95/98 .exe dosyalarına
bulaşmaya çalışır. Virüs kesinlikle DOS da aktif değildir, sadece
windowsda çalışabilir. Eğer bilgisayarı DOS modunda (Command Prompt Only -
Sadece Komut İşlemi) açarsanız virüs hafızaya yüklenmez. Eğer Windowsdan
DOS'a çıkarsanız (Restart Computer in MSDOS mode), virüs hafızadan çıkar.
Virüslü bir .exe dosyası ya başka bir arkadaşınızdan veya dışardan bir
disketle,cdromla veya internetten çektiğiniz veya emailinizde size
gönderilen bir .exe dosyası varsa ve bu .exe dosyasını çalıştırırsanız
size bulaşır.
Bunların dışında başka bir şekilde bulaşmaz.
Virüsde bazı programlama hataları olduğu için bazı bilgisayarlarda virüslü
dosya çalıştırıldığı zaman sistem kilitleniyor.
Virüs sadece ayın belli tarihlerinde aktif oluyor. Bu virüsün 3 tane
farklı tipi vardır:
|
Uzunluk |
İçerdiği Yazı |
Aktif olma
tarihleri |
Yaygın mı? |
|
1003 |
CCIH 1.2 TTIT |
Nisan 26 |
Evet |
|
1010 |
CCIH 1.3 TTIT |
Nisan 26 |
Hayır |
|
1019 |
CCIH 1.4 TATUNG |
Her ayın 26sinda |
Evet |
Yukarıdaki tabloyu açıklayalım:
Uzunluk: Virüsün kapladığı yer. Çok ilginçtir, bu virüsün bu kadar yayılma
sebeplerinden birisi de virüsün bir dosyaya bulaştığı zaman dosyanın
boyutlarını arttırmamasıdır. Virüs, dosyalardaki kullanılmayan boşlukları
bulup kendisini parça parça bu boşluklara kaydetmektedir. Bu şekilde
insanların gözünden kaçabilmektedir. Bu virüs aynı zamanda türünün ilk
örneğidir.
İçerdiği
Yazı: Virüsün bulaştığı dosyalara yazdığı bir yazı.
Aktif
olma tarihleri: Virüs bu tarihler haricinde bulaşmak dışında hiçbir işlem
yapmamaktadır. Bu tarihlerde ise sisteme hasar verecektir.
Yaygın
mı: Bu virüsün diğer ülkelerde de yaygın olup olmayan türleri. Çok
ilginçtir bugüne kadar bize ulaşan virüslerin çoğu 1.3 türü idi. Sanırız
Türkiye’de daha çok 1.3 türündeki virüs yaygın.
Virüsün
verdiği zararlar nelerdir?
Virüs iki
türlü hasar vermektedir:
a)
Flash BIOSlar:
Özelliklerde Pentium ve Pentium-II işlemcilerin kullanıldığı anakartlarda
bulunan Flash Bios özelliği bilgisayarınızın yeni çıkan işlemcileri
desteklemesi ve BIOSlarda olabilecek (2000 yılı gibi) yazılım hatalarına
karşı yenilemenizi sağlar. Bir program ile bu BIOSların en son
versiyonlarını internetten çekip Flash Biosa yazabildiğiniz gibi bu virüs
de Flash Biosa yazabiliyor. Flash Biosu anlamsız işe yaramayan datalarla
dolduran bu virüs bilgisayarın ilk açılmasını sağlayan bu kritik yazılımı
işe yaramaz hale getiriyor ve bilgisayarınızda kapkara bir ekranla başbaşa
kalıyorsunuz.
b)
Harddiskler:
Virüs harddisklerin MBR (Partition) ve Boot diye bilinen iki bölgesindeki
bilgilerin üzerine yazmakta ve onları da işe yaramaz bilgilerle
doldurmaktadır. Bu durumda harddisk sağlam olsa bile , harddiske sistemin
erişmesinde gerekli olan bu yerlerdeki yanlış datalar bilgisayarınızın
harddiskteki dosyalara erişmesini engellemektedir.
Özellikle direkt biosdan erişim sistemi kullanan bu virüs BIOSlardaki
virüs korumasını da aşmaktadır.
Ayrıca virüs rasgele bir şekilde disketteki dosyalara hasar da
verebilmektedir. Bunun yanısıra, virüsün harddiskin ilk 1Mblık alanını
sildiği ve FAT (Dosya Tablosu) yapısını bozduğu da bilinmektedir. Bu
durumda ise bilgileri kurtarmak imkansız denilebilir. Ancak Norton
Utilities programlarından Unformat ile Ontrack firmasının Tiramisu
programları bir umut ışığı olabilir.
Norton Utilities internet sayfasına
www.symantec.com adresinden erişebilirsiniz.
Ontrack firmasının internet sayfasına
www.ontrack.com adresinden erişebilirsiniz.
Virüs bu
bahsedilen konular dışında hiç bir şeye zarar vermez. Maalesef medyada
çıkan bazı haberler bizi bu konuda sizleri uyarma ihtiyacına yönlendirdi.
Cdromların epromlarının bozulması, SMS mesajları ile Cep telefonlarının
bozulması gibi bir çok asılsız haberlere lütfen inanmayınız.
Sadece size anlattığımız gibi Flash bios ve harddiskdeki bilgilere zarar
vermektedir.
Bu virüsden
nasıl kurtulunur?
Bu konuyu
iki şekilde ele alacağız.
Bilgisayarı hasar görmemiş ama virüs olma ihtimali olanlar:
Eğer
bilgisayarınızda bu virüsün olup olmadığını merak ediyorsanız, aşağıdaki
listedeki antivirüs programları kullanıp bu virüsden kurtulabilirsiniz.
Özellikle virüs dosda aktif olamadığı için Windows95/98 (Win32) .exe
dosyalarını temizleyebilen Dos antivirüs programlarını tavsiye ediyoruz.
başlıca bu antivirüs
programlarını tavsiye ediyoruz.
Bu arada belirtmek isterim ki, bu programların bir kısmının DOS da
çalışanları ücretsizdir. Ücretsiz olmayan DOS/Windows antivirüslerini ise
genelde 30 günlük deneme süresi içinde (bu süre değişebilir, biz
sorumluluk almıyoruz) ücretsiz olarak kullanıp sonra silebilirsiniz veya
programı satın alabilirsiniz.
HAPPY99
* Nedir? Win32 tabanlı bir Truva'dır. Çalıştırıldığı zaman küçük
sayılabilecek bir ekran içerisinde havai fişek efekti gösterir. * Diğer
İsimleri? win32. ska. a, ska, wsock32. ska ve ska. exe.
* Nasıl Bulaşıyor? Happy99 isimli (başka bir isim altında da olabilir)
programı çalıştırdığınız an aktif olur ve "SKA. EXE" ve "SKA. DLL" isimli
iki dosya yaratır. Orjinal WSOCK32. DLL dosyanızı WSOCK32. SKA adı altında
kaydeder ve gerçek WSOCK32. DLL yerine modife edilmiş dosyayı geçirir.
Eğer o an Wsock32. dll kullanılıyorsa bu değişiklikleri yapamaz; ama
Windows Registry'sine girerek bilgisayar ilk boot edilkten sonra bunların
yapılmasını sağlar. Uzunulupu 10. 000 byte'dır.
* Etkileri Neler? Happy99 aktif olduktan sonra kullanıcının e-mail ve
newsgroup işlemlerini izleyerek onlara SKA. EXE dosyasının bir kopyasını
HAPPY99 adı altında gönderir. Her bir adrese sadece bir kere gönderir.
Atılan ilk mail'in subject'ini kullanarak ayrı bir mail atar, yani
kullanıcının attığı mail'le göndermez Happy99'u. LISTE. SKA adlı dosyada
kimlere atıldığı tutulur. Herhangi bir zararı yoktur, sadece yayılır.
·
Ne Zaman
Ortaya Çıktı? Ocak 1999.
En popüler
Virüsler:
|
Virüs İsmi
|
Tipi |
Karıştığı Olaylar |
Yüzde |
|
Win32/Ska |
File |
140 |
13.28% |
|
Laroux |
Macro |
124 |
11.76% |
|
Marker |
Macro |
122 |
11,57% |
|
Ethan |
Macro |
69 |
6,55% |
|
Class |
Macro |
59 |
5.60% |
|
Win32/Pretty |
File |
52 |
4.93% |
|
Win32/NewApt |
File |
48 |
4.55% |
|
Melissa |
Macro |
47 |
4.46% |
|
Tristate |
Macro |
44 |
4.17% |
|
Freelinks |
Script |
42 |
3.98% |
|
Win32/Babylonia |
File |
32 |
3.04% |
|
Cap |
Macro |
31 |
2.94% |
|
Win32/Fix |
File |
31 |
2.94% |
|
Thus |
Macro |
29 |
2.75% |
|
Win32/Explore.Zip |
File |
21 |
1.99% |
|
Win95/CIH |
File |
19 |
1.80% |
A.c) Virüsler Nasıl Yayılır?
Dünyadaki
yaklaşık 100-200 milyon kişisel bilgisayar ve Mac kullanıcısının
milyonlarcası en az bir kere virüs saldırılarına maruz kalmıştır. Ancak
ortalıkta ne kadar virüsün bulunduğu konusunda kimsenin kesin bir bilgisi
yok.Çünkü virüsler hakkında hazırlanan raporlar hiçbir zaman tam değildir.
Bunun en önemli nedenlerinden biri, virüse maruz kalan insanların
karşılaştıkları sorunların kendilerinin yaptığı hatalardan meydana
geldiğini düşünmesi, bu yüzden de çoğu virüs problemi gerekli kişilere
bildirilmemesi.
Daha 3-4
yıl öncesine kadar işyerlerinde karşılaşılan virüs problemleri evden
getirilen disketlerden kaynaklanıyordu. Ancak günümüzde virüslerin daha
çok internet’ten bulaştığını görüyoruz. Virüslerin sadece küçük bir kısmı
gerçekten zararlı. Geri kalanı kötü yazılmış, iyi test edilmemiş, “bug”lı
küçük yazılımlardır.Yine de bunları teşhis etmek zman alır. Dataquest’in
bir araştırmasına ve değişik birkaç sigorta şirketinin sözcüsünn
aktardıklarına göre, bir şirketin kişisel bilgisayarları arasında çoğalan
bir virüs, ortalama birkaç bin dolara ve veri kaybına neden oluyor.
Dataquest’in raporuna göre, örneğin bir şirket sadece bir olaydan dolayı 2
milyon dolar kaybetti.En az bir sigorta şirketi bilgisayar virüsleri
yüzünden meydana gelen zararlara karşı yılda 100 bin dolarlık sigorta
poliçesi veriyor.
Son
yıllarda bilgisayar virüsleri o kadar önem kazandı ki büyük bir anti-virus
endüstrisinin doğmasına neden oldu. Dünya çapında bu işle uğraşan
düzinelerce şirket yüzlerce araştırmacı var. Sadece anti-virüs
yazılımlarıyla uğraşan bazılarının hisse senetleri Amerikan Borsası’ndan
el değiştiriyor.
Şu anda
virüs ve Anti-virüs geliştiricileri arasındaki savaş neredeyse başabaş
görünüyor.Ancak yinede özellikle iki olgu var ki durumu virüs yazanlar
lehine çeviriyor. Birincisi yeni yazılan virüs sayısındaki artış
karşısında artık bu virüsleri inceleyip çözüm bulan Anti-virüs
uzmanlarının gittikçe daha zor durumda kalmaları. İkincisi dünyadaki
bilgisayar arasındaki iletişimin hızla artması güncel Anti-virüs
programlarının bir tek merkezden periyodik bir şekilde dağıtılmasıda
virüslerin günümüzde yayılma hızına göre çok yavaş kalıyor.
Yakın bir
gelecekte bilgisayarlar bilinmeyen virüslerin farkedilmesi durumunda
bunları otomatik olarak tanıyıp, bunları ortadan kaldıracak bir sisteme
ihtiyaç duyacaktı. Bilgisayar virüslerinin biyolojik isim babalarına karşı
doğa böyle bir şeye çare bulacak ( bu davetsiz misafirleri tanıyp hatta
tanımasa bile hemen tepki verebilecek) bir mekanizmaya sahip:omurgalıların
bağışıklık sistemi. İşte bu bağışıklık sistemi mekanizmasını model alarak
Anti-virüs yazılım şirketleri kendi yazılımlarını geliştiriyorlar.
A.h)
Virüsler bilgisayar donanımını yakabilirler mi?
Bu
sorunun cevabi "evet yakabilirler." ancak belli koşullar altında. Yani her
makineyi yakamazsınız. Veya her diski bozamazsınız.Virüsler program
parçalarıdır. Ve eğer bir virüs donanımı bozmak isterse donanıma bir takım
özel komutlar göndermek durumundadır. Eğer Windows kullanıyorsanız bu tür
komutları Windows sezinleyerek sizi daha önceden uyarır. En azından
rasgele isler yapmanıza engel olur. Mesela disk erişimi.
Bilgisayar virüslerinin amacı öncelikle
kendisini bozmadan bulaştırmaktır. Genellikle mesaj veya espri amaçlı
hazırlanmışlardır. Yani kimse bindiği dalı kesmek istemez. Yani bulaştığı
makineyi bozarak harakiri yapmaz. Eğer amaç bu olsaydı bulaşma amacının
önüne geçeceğinden bulaşamadan makineyi bozmak istemezler.Ancak eğer kötü
niyetlilerse veya yakma isini zamana bağlamışlarsa o zaman korkulabilir.
Monitörün tarama frekansı yazılımla kontrol edilmektedir. Tarama
frekansları için belli rakamlar vardır. Eğer rakam 0 yapılırsa ekranın
ortasında çok parlak bir nokta seklinde görünecektir. Uzun süre bu nokta
orada kalırsa buradaki fosfor tabakası yanacağından bozulma olacaktır.
Diğer taraftan MGA kartlarına bir komut göndererek Flyback
Transformatörünü yakıla biliniyor.
A.I) Virüslerin zararları ile ilgili alınacak tedbirler nelerdir?
Virüslerden nasıl korunuruz?
Virüslerin zararları
ile ilgil alınacak tedbirler şunlardır:
1)virüslü disketler
bilgisayarınıza takmayınız.
2)disketlerinizin
proteklerini kapatınız .
3)orijinal olmayan cd
‘leri bilgisayarınızda kullanmayınız.
4)size gelen
e-postaların ekli dosyalarını emin olmadıkça açmayınız.
5)bilgisayarınızda
bulunan antivirüs programlarınızı sürekli yenileyip günceleştiriniz.
6)bilgisayarınıza
virüsün bulaştıüına eminseniz ya o virüsü silmeyi deneyiniz yada
bilgisayarınızı kapatıp hiç açmayın.çünkü bilgisayar her açılıp
kapatıldığında virüs bir adım ilerlemekte ve verdiği zararları
artırmaktadır.
En iyi
korunma yolu, şüpheli programlari, güvenmediginiz internet sitelerinden
aldiginiz programlari kontrol etmeden çaliştirmamak. Dişardan bir program
aldiginizda bir virüs tarayicisi ile kontrol edin.Virüsler dışında,
çalıştırdığınızda bilgisayarınızın önemli dosyalarını silen, disklerinizi
formatlamaya çalışan ve ilk anda yararlı gibi görünen programlar da
vardır. Bu programlar, genellikle, illegal programların bulunduğu birtakım
kontrolsüz FTP sitelerinde, web sitelerinde bulunmaktadır.
Bu tip
programların dağıtıldığı önemli yerleden biri de haber gruplarıdır (usenet
news). Aldığınız bir mailin sonuna eklenen ve "lütfen ilişikteki kısa
programı çalıştırın, size çok güzel bir yeni yıl kutlaması mesajı veriyor"
gibi bir mesaj görür, eklenmiş programı alırsınız içinden hiç virüs
çıkmaz. Ama, aldığınız program, çalıştırıldığında, aslında makinanıza
ciddi zararlar veren bir algoritmayı doğrudan çalıştırıyor olabilir.
Bilgisayarınıza, eğer imkanınız varsa, bir virüs
koruyucu kalkan programı yükleyin. Bu da, sizi bir miktar koruyacaktır. Bu
programların seçenekleri ile biraz oynayarak tam kullanımını öğrenin.
Bazıları, disk formatlama, dosya silme vb gibi konularda kullanıcıyı
uyaran özelliklere sahiptir
A.k) Günümüzde Ulaşılan Nokta
Günümüzde tam bir bilimsel inceleme
konusu oalrak ele alınmasa da, bilgisayar virüslerinin önemi bilgisayar
dünyasında gitgide artmaktadır. Bu kadar yaygın ve önemli olmasının nedeni
biyolojik benzerliklerle verilebilir. Bilgisayar virüsleri kendilerini bir
yere bulaştırıp(bu bir program yada bir bilgisayar olabilir), bilgisayar
kaynaklarından yararlanarak kendilerini çoğaltabilirler. Bunun belirtileri
zararlı, hatta yıkıcı olabilir. Biyolojik virüsler nasıl bir toplumda
kişiden kişiye yayılıyorsa, bilgisayar virüsleri de bir bilgisayardan bir
başka bilgisayara atlayarak bulaşabilir.
IBM’deki
araştırmacılar bilgisayar virüslerine karşı yapılan çalışmaların
geliştirilmesinde, virüslerin yayılışının biyolojik virüslere olan
benzerliklerinden yararlanıyorlar;virüs yazılımlarına karşı yapılan
çalışmalarda, omurgalıların bağışıklık sisteminden ve onun hastalık
bulaştırıcıları itici ya da öldürücü yeteneğinden esinlendiklerini
belirtiyorlar.
Her ne
kadar bir programın bir bilgisayara bulaşması fikri 1970’lere kadar gitse
de, 1987 yılında Delaware Üniversitesi’nde birkaç düzine diskette çıkan “Brain”(beyin)
adlı virüs ilk virüs olarak kabul edilir. Günümüzdeyse bilgisayar
virüsleri yılda milyonlarca bilgisayarı zor durumda bırakıyor.
Kullanıcılar da, Anti-virüs ürün ve servislerine her yıl yüzlerce milyon
dolar harcama yapıyorlar. Bu miktar hızla daha da yükseliyor. Çoğu
bilgisayar virüsü kişisel bilgisayarlara saldırıyor. Bugüne dek 10000’den
fazla virüsün ortaya çıktığı biliniyor. Her gün de 6 yeni virüs
yaratılıyor. Sınıflandırma yapacak olursak 3 çeşit kişisel bilgisayar
virüsü var: dosyalara bulaşan virüsler,”boot”-sektör virüsü ve makro
virüsleri. Bilinen virüslerin yaklaşık %85’i elektronik tablolama, oyun
gibi uygulamaları içeren .exe ve .com uzantılı dosyalara bulaşıyor.
Ne zaman
bir kullanıcı, virüs bulaşmış bir uygulamayı çalıştırsa, ilk önce virüs
kodu çalışır ve kendini bilgisayarın ana belleğine kopyalar ve bu şekilde
kullanıcının sonradan çalıştırdığı diğer temiz uygulamaları içeren öteki
dosyalara bulaşır. Yerleştikten sonra virüs, denetimi yine bulaşmış
uygulamalara devreder; kullanıcı bunun varlığından habersiz işlemine devam
edecektir. Doğal olarak virüslü program bir şekilde başka bir bilgisayara
bulaşacaktır. Bu ya elden ele dolaşan disketle ya da bilgisayar ağlarından
olabilir. Bir döngü bu şekilde başlar. Virüslerin yaklaşık %5’ini
oluşturan boot sektör virüsleri, disketlerin yada sabit disklerin,
bilgisayarınızı ilk açtığınızda okunup belleğe yüklenecek özel bir
bölgesine yerleşir. Normalde “boot” sektör, bilgisayar işletim sisteminin
geri kalan kısmını yüklenmesi için gerekli bilgilerinin bulunduğu
bölgedir. Bir kere bu bölgeye virüs bulaşırsa sürücüye takılan her türlü
diskete aynı zamanda sabit diskinize de bulaşır. Bu şekilde virüsler
bilgisayarınızı her açtığınızda belleğe yerleşir. “boot” sektör virüsleri
dosyalara bulaşanlardan çok daha etkilidir.
3.sınıfa
giren makro virüsler işletim sistemlerinden bağımsız çalışırlar. Bunlar
klasik programlardan farklıdırlar. Birçok elektronik tablolama, veritabanı
ve kelime işlemci programları, bir dökümanın içine yerleştirilmiş belli
komutları içeren küçük programcıklar çalıştırırlar. Bu programcıklar (ya
da Makro) kullanıcıyı, yinelenecek bir dizi komutu tekrar tekrar
girmekten, örneğin bir sürü uzun kelimeyi yazmaktan ya da uzun karmaşık
hesapları tekrar tekrar yapmaktan kurtarır.Bu, virüs programcılarını
dökümanlar içine kopyalanan makrolar yazmaya yönlendirmiştir. Makro
virüsler diğer virüslere göre daha çabuk yayılırlar. Çünkü bir çok kişi
pek çok veriyi ortak kullanır. Örneğin; bir işyerindeki dosyanın ya da
verinin hemen herkez tarafından kullanıldığını düşünün. Bu şekilde bu
dosyayı açan bir çok kişi kendi bilgisayarına bu virüsü bulaştırmış
olacaktır. 1995 yılının sonunda çıkan “Concept” adlı virüs raslanılan ilk
makro virüsü idi ve şu anda dünyada en yaygın olan virüstür. Günümüzde
1000’den fazla makro virüsü bulunmaktadır.
Virüsler,
kopyaladıkları temel kodları dışında, onu yazan programcının isteğine göre
başka kodlar da içerebilirler. Kimi virüsler ekranınıza sadece mesaj
gönderir ya da görüntü yollarken, diğerleri verilere ya da bütün bir
programa zarar verebilir.
B) Nuke
B.A) Nuke Nedir?
Nuke siz
internete bağlıyken ISS nizce size verilen bir ip numarası yardımı ile bir
başka kişinin özel programlar yardımı ile bilgisayarınıza paketler
gönderilmesi ve bu paketlerin bilgisayarınıza zarar vermesidir.
B.B)
Çeşitleri
OOB Nuke
:
(Out of Band Nuke ) Sadece Windows NT ve Windows 95’in bir bug olan OOB
Nuke, işletim sistemi Windows olan bir makinenin 139. portuna (Netbios
Session Port) MSG_OOB tipi bir bağlantı (connection) yapılmasıyla
gerçekleşir.(Service Pack ile halledildi)
Eğer Windows
95 kullanıyorsanız sisteminize mavi ekran vererek Internet bağlantısının
kopmasına, Windows NT kullanıyorsanız sistemin durmasına yol açar.
Land
:
Bilgisayarı
kendi kendine senkronize ettirerek Winsock'un sonsuz döngüye girmesini
sağlar böylece mouse'un bile hareket etmemesine yol açar.
Source IP-Source
Port ve Destination IP-Destination Port’un aynı olduğu bir IP paketi land
saldırısının gerçekleşmesini sağlar.
Teardrop,
Boink, Nestea
:
Internet üzerinde gelen giden veri parçalar halinde taşınır. Daha sonra
işletim sistemi tarafından birleştirilen paket parçacıkları veriyi
oluşturur(Fragmentation). Çoğu sistemin duyarlı olduğu bu saldırı tipleri,
bilgisayarınızın bozuk olarak bölünmüş iki paketi birleştirmeye çalışması
ile gerçekleşir.
Boink;
teardrop saldırısının ters olarak çalışan halidir.
Nestea;
teardrop saldırısının minör değişimlere uğramış halidir. Aynı zamanda
teardrop ve boink saldırılarına karşı patch edilmiş Linux sistemlerinde
etkilidir.
Brkill
: Eğer Windows yüklü bir bilgisayara, bağlantının sonlanmasıyla oluşan
PSH ACK tipi bir TCP paket gönderilirse Windows o anki son bağlantı seri
numarasını gönderir. Buradan yola çıkarak hedef makinedeki her hangi bir
bağlantıyı zorla kesmek mümkün olur.
ICMP Nuke
: Bilgisayarlar çoğu zaman aralarındaki bağlantının sağlamlığını
birbirlerine ICMP paketleri göndererek anlarlar . Bu saldırı varolan bir
bağlantının arasına sanki hata varmış gibi ICMP_UNREACH paketi göndererek
oluşur.
Jolt /
Ssping
:
Windows 95 ve NT'nin yüksek boyuttaki bölünmüş ICMP paketlerini tekrar
birleştirememesinden kaynaklanan bir saldırı türüdür. 65535 + 5 bytelık
bir ICMP paketi göndermek bu saldırıyı gerçekleştirir.
Smurf
:
Networklerde Broadcast Address olarak tanımlanan ve kendine gelen
mesajları bütün network'e yönlendiren makineler vardır. Eğer birisi başka
biri adına o makineye ping çekerse, ağ üzerinde çalışan bütün makineler
hedef olarak belirlenen makineye ping çeker. Smurf, bu işlemi yüzlerce
broadcast makineye tek bir kaynak IP adresten ping çekerek saldırı haline
çevirir. Bir anda bilgisayarlara onbinlerce bilgisayarın ping çektiği
düşünülürse, değil bir şirketin bağlantısı, maalesef TURNET (Türkiye
Internet Omurgası) çıkış gücü bile buna cevap vermeye yetmez ve
bağlantılar kesilir.
Suffer3
:
Suffer saldırısı karşı bilgisayara sanki binlerce farklı bilgisayardan
bağlantı isteği geliyormuş gibi SYN paketleri gönderir . Bu saldırının
sonunda Windows yeni bağlantılar için yeterli hafıza ayıramaz ve kalan
hafızayı da bitirir. Bazı firewall türleri de böyle bir durum karşısında
binlerce soru kutucuğu açarak makinenin kilitlenmesine sebep olur.
B.C) Nuke Programları
İnternet
üzerinden de temin edilebilen,ve sıkça karşımıza çıkabilecek belli başlı
nuke programları şöyle sıralanabilir:
Winpack 1.0
, The aggressor , Nuke v3.2, Winnuke…
B.D) Nuke'tan Nasıl Korunulur?
NUKENABBER:
NukeNabber
kimin size Nuke veya daha farklı yollarla saldırı düzenlediğini öğrenmeniz
için tasarlanmış bir güvenlik programıdır. ISP adminlerinin bu hacker’ları
belirleyip etkisiz hale getirmeleri için kolaylıklar sağlar.
Birden fazla
port u kullanıma sokarak sizin birtek port ile tuzağa düşmemenizi sağlar .
Böylece karşıdaki insan sizin hangi portu kullandığınızı kestirmesi çok
güç olacağından yoluna oldukça önemli bir engel de koymuş olursunuz.
TCP ve UDP
kullanarak yapılan saldırıları tespit etmek için 50 ye kadar port
kullanılabilir. TCP ve UDP’nin yanısıra ICMP dest_unreach portlarınıda
denetleyebilir.
Bir Saldırı
Nasıl Rapor Edilir ?
· Saldırı
amacıyla sizin portunuza bağlanan kişinin adres raporunu gözden
geçirin.(Bu dosyalara view menüsünden ulaşabilirsiniz.)
· Mümkünse
Admin bağlantısı için e-mailleri alın.
Eğer
raporlardan bir şey elde edemediyseniz, log dosyasını
root@isp e
gönderin.
· E-mail
programınızı çalıştırın.
· En son
yapılan logonların listesini emailinize geçirin.
· Kısaca
başınıza ne geldiğini mesaja ekleyin
· Mesaja
gerçek isminizi ve yetkilinin sizinle irtibat kurabileceği bir adres veya
telefon bırakmayı ihmal etmeyin.
C)
Exploitler
Exploitler
genelde sistem tabanlı olarak çalışırlar yani Unix'e ait bir exploit
Windows için çalışmaz. Bu güne kadar bulunan yaklaşık olarak 1000’in
üzerinde exploit vardır.
Windows Null
Session Exploit : Windows işletim sistemi, dışarıdaki kullanıcılara
network üzerinde hiç bir hakka sahip olmadan session, user ve share
information'ı verir. Kötü niyetli birisi bu exploiti kullanarak sistem
hakkında çok kritik bilgiler sahibi olabilir.
PHF Exploit
:
Bu exploit oldukça eski olmasına rağmen halen karşılaşabilecek bir
güvenlik açığıdır, PHF CGI yardımı ile sistemdeki dosyalara admin olarak
erişilebilinir.
GET /cgi-bin/phf?Qalias=x%0a/usr/bin/ypcat%20passwd
http://www.phfcalistiranserver.com/cgi-bin/phf?Qalias=x%0a/usr/bin/ypcat%20passwd
Yukarıdaki
örnek Unix işletim sistemi ya da türevini kullanan bir makineden User
bilgilerinin ve de şifrelerinin bulunduğu Password dosyasının görülmesini
sağlar.
ASP Exploit
:
Active Server Page özelliği kullanan WebServer’larda URL' nin sonuna bir
nokta(.) yada ::şDATA yazılarak ASP’nin içeriği (source code) görülebilir.
Eğer ASP'nin içerisinde her hangi bir şifre varsa bu exploit çok tehlikeli
olabilir.
http://www.aspkullananserver.com/default.asp.
ya da
http://www.aspkullananserver.com/default.asp::$DATA
Sendmail
Exploit
: Eski Sendmail versiyonlarında birkaç basit hile ile sistemin
şifrelerinin tutulduğu dosyayı çekmek mümkün olabilir. Ayrıca sistem
kullanıcıları hakkında bilgi almak (EXPN) yada bir Username’in o Server’da
olup olmadığını öğrenmek de mümkündür. (VRFY)
telnet
mail.server.com:25
ICQ Tabanlı
Exploitler :
Son derece zayıf bir mimariye sahip olan ICQ sistemi, kolayca taklit
edilebilen, hatta gerçek spoofing bile yapılmasına gerek kalmayan bir
sistemdir. ICQ kullanıcıları kolayca mesaj bombasına tutulabilir,
passwordleri değiştirilebilir, onaya gerek kalmadan listeye alınabilir.
IP'sini kullanıcı gösterme dese bile görülebilir yada ICQ chat yaparken
mesaj taşması (flooding) yapılabilir.
Dosya ve
yazıcı paylaşımı
:
Windows 95
yada NT’de paylaşıma açılan disk ya da klasörlerin okuma-yazma izinlerine
çok dikkat edilmelidir. Şifresiz (Şu birçok ISP’nin Inetpub Directory'sini
tüm dünyaya yazma izni vererek paylaşıma açması gibi) ya da kolay tahmin
edilebilecek (username ile aynı) bir şifre ile paylaşıma açılan disk yada
klasörlerin her türlü saldırıya açık olması gibi durumlar istenmeyen
durumlara yol açabilir.
Windows
Start menüsünde Run seçeneği tıklatıldıktan sonra \\IP yazıp Enter tuşuna
basılırsa, IP'si yazılan makinede paylaşıma açık olan yerler görülebilir.
Windows’un içinde var olan NET komutunu kullanarak (NET VIEW \\IP) yine
paylaşıma açık yerleri görebilir ve yine aynı komutla onlara
bağlanılabilir.
(NET USE J:
\\IP\paylaşımismi) Ayrıca linux yüklü bir makineden, smbclient programı
ile aynı işlemleri yapılabilir.
Bu tip
tehlikelerden korunmak için paylaşımlara sağlam bir şifre zorunludur.
(anlamsız kelime+ rakamlar+hem büyük hem küçük harf kullanıması vs.)
Diğer
Araçlar
:
Snork, cachecow, ADMmountd, mountd, faxsurvey, vintra,hotmail_exploit1-2,
ioconfig lpd-rm, dilloncrond, nameserver_dead, lpd-mail, imapd4, binfo-udp,
pinebug, mailxploit, newxterm, mailex, metainfo, xterm_exploit,
dip3.3.7overflow-exploit, coke ve daha bir çok exploit bulunuyor. | 
