Bu makalenin amacı,
Sobig ve Sasser türleri de dâhil olmak üzere virüsler (solucanlar) ve nasıl yayıldıklarını anlamak,
Bazı spesifik virüs salgını hakkında çalışma bilgisine sahip olmak, Antivirüs yazılımlarının nasıl çalıştığını anlamak, Bir Truva atının ne olduğunu ve nasıl çalıştığını anlamak, Birkaç belirli Truva atı saldırısı hakkında çalışma bilgisine sahip olmak, Arabellek taşması saldırısının arkasındaki kavramı kavramak, Casus yazılımları ve bunların bir sisteme nasıl girdiğini daha iyi anlamak, Güvenilir uygulamalar, virüsten koruma yazılımı ve casus önleme yazılımı aracılığıyla bu saldırıların her birine karşı savunma yapılması gibi konulara değinilmiştir.
VİRÜS / SOLUCAN
Bilgisayar virüsleriyle solucanlar arasındaki önemli bir ayrım, virüslerin çalışması, zarara neden olması ve diğer yürütülebilir dosyalara veya belgelere bulaşması için aktif bir ana program ya da halihazırda virüs bulaşmış ve aktif bir işletim sistemi gerekirken solucanların kendisini kopyalayabilen ve insan yardımı olmadan bilgisayar virüsleri yoluyla çoğalabilen bağımsız kötü amaçlı programlar olmasıdır.
Virüsler genellikle bir yürütülebilir dosyaya veya Word belgesine eklenir. Bunlar genellikle P2P dosya paylaşımı, virüslü web siteleri ve e-posta eklerinin indirilmesi yoluyla yayılır. Bir virüs, sisteminize girdikten sonra virüslü ana dosya veya program etkinleştirilene kadar hareketsiz kalır. Etkinleştirme sayesinde virüs çalışır ve sisteminizde çoğalır. Solucanların çalışması, kendini kopyalaması ve çoğalması içinse ana program gerekmez. Bir solucan genellikle ağ bağlantısı veya indirilen bir dosya yoluyla sisteminize girdikten sonra ağ veya internet bağlantısı üzerinden kendisinin birden fazla kopyasını yapıp yayılarak ağdaki yeterince korunmayan tüm bilgisayarları ve sunucuları etkiler. Ağ solucanının birbirini izleyen her bir kopyası da kendi kendine çoğalabildiği için virüsler internet ve bilgisayar ağları yoluyla hızla yayılabilir.
VİRÜS NASIL YAYILIR
Bir virüs genellikle iki yöntem ile yayılır. Birincisi, bilgisayar ağ bağlantıları içerisinde tarar ve ardından kendisini bilgisayarınızın erişebildiği ağdaki diğer makinelere kopyalamasıdır. Bu aslında bir vims için en etkili yoldur. Ancak bu yöntem diğer yöntemlere göre daha fazla programlama becerisi gerektirir. Daha yaygın yöntem ise e-posta adres defterinizi okumak ve kendisini adres defterinizdeki herkese e-posta ile göndermektir. Bunu programlamak çok basittir bu yüzden oldukça yaygın olduğu söylenebilir.
İkinci yöntem ise vims yayılması için açık ara en yaygın yöntemdir ve Microsoft Outlook, bu tür vims saldırılarına en çok maruz kalan tek e-posta programı olabilir. Nedeni de Outlook’taki güvenlik açığı değil, çalışma kolaylığıdır. Tüm Microsoft Office ürünleri, bir işletme için yazılım yazan bir programcının, uygulamanın dahili nesnelerinin çoğuna erişebilmesi ve böylece uygulamaları Microsoft Office paketiyle entegre eden uygulamaları kolayca oluşturabilmesi için yapılmıştır. Örneğin, bir programcı bir Word belgesine erişen, bir Excel elektronik tablosunu içe aktaran ve ardından ortaya çıkan belgeyi ilgili taraflara otomatik olarak e-posta ile göndermek için Outlook’u kullanan bir uygulama yazabilir. Microsoft, bu işlemi kolaylaştırmak için iyi bir iş çıkarmıştır, çünkü bu görevleri gerçekleştirmek için genellikle minimum miktarda programlama gerekir. Outlook’u bu şekilde kullanarak bir e-posta göndermek beş satırdan daha az kod gerektirir. Virüs saldırılarının ezici çoğunluğu kendilerini kurbanın mevcut e-posta yazılımına ekleyerek yayılırken, son zamanlarda ortaya çıkan bazı virüs salgınları, kendi dâhili e-posta motorları gibi diğer yayılma yöntemlerini kullandı. Başka bir virüs yayma yöntemi, kendisini bir ağ üzerinden basitçe kopyalamaktır. Birden çok yolla yayılan virüs salgınları daha yaygın hale gelmektedir. Bir yük iletme yöntemi oldukça basit olabilir ve virüs yazarının becerisinden çok son kullanıcının ihmaline dayanabilir. Kullanıcıları web sitelerine gitmeleri veya yapmamaları gereken dosyaları açmaları için kandırmak, bir virüs iletmek için yaygın bir yöntemdir ve hiçbir programlama becerisi gerektirmez.
VİRÜS TÜRLERİ
Pek çok farklı virüs türü vardır. Virüsler, yayılma yöntemlerine veya hedef bilgisayarlardaki etkinliklerine göre sınıflandırılabilir.
Makro:
Genelde Ofis belgelerindeki makroları etkiler. Microsoft Office dâhil birçok ofis yazılımları, kullanıcıların makro adı verilen mini programlar yazmasına izin verir. Bu makrolar ayrıca bir virüs olarak da yazılabilir. Örneğin, Microsoft Office, kullanıcıların bazı görevleri otomatikleştirmek için makro yazmasına izin verir. Microsoft Outlook, bir programcının Visual Basic programlama dilinin Visual Basic for Applications (VBA) adı verilen bir alt kümesini kullanarak komut dosyaları yazabilmesi için tasarlanmıştır. Bu komut dosyası dili aslında tüm Microsoft Office ürünlerinde yerleşiktir. Programcılar ayrıca yakından çevrilen VBScript dilini de kullanabilir. Her iki dili de öğrenmek oldukça kolaydır. E-postaya böyle bir komut dosyası eklenmişse ve alıcı Outlook kullanıyorsa, komut dosyası çalıştırılabilir. Bu yürütme, adres defterinin taranması, adreslerin aranması, e-posta gönderilmesi, e-postaların silinmesi ve daha fazlası dâhil olmak üzere birçok şeyi yapabilir.
Multi-partite (Çok parçalı):
Multi-partite virüsler bilgisayara birden çok yolla saldırır, örneğin sabit diskin önyükleme sektörüne ve bir veya daha fazla dosyaya bulaşabilir.
Memory Resident (Belleğe Yerleşik): Memory Resident bir virüs kendini yükler ve ardından bilgisayarın ön yüklendiği andan kapatıldığı ana kadar RAM’de kalır.
Armored (Zırhlı):
Armored bir virüs, analiz edilmesini zorlaştıran teknikler kullanır. Kod karmaşası böyle bir yöntemdir. Kod, virüs demonte edilirse kolayca takip edilemeyecek şekilde yazılmıştır. Sıkıştırılmış kod, virüsü zırhlamak için başka bir yöntemdir.
Sparse Infector (Seyrek Bulaşıcı):
Kötü amaçlı etkinliklerini yalnızca ara sıra gerçekleştirerek tespit edilmekten kurtulmaya çalışır. Seyrek bulaşıcı bir virüsle, kullanıcı kısa bir süre semptomlar görecek, ardından bir süre hiçbir belirti göremeyecektir. Bazı durumlarda, Sparse Infector belirli bir programı hedef alır, ancak virüs yalnızca hedef programın yürüttüğü her 10. veya 20. seferde çalışır veya Sparse Infector bir aktivite patlaması yaşayabilir ve daha sonra bir süre uykuda kalabilir. Bu virüsün birkaç varyasyonu vardır, ancak temel prensip aynıdır: saldırı sıklığını azaltmak ve böylece tespit edilme ihtimalini azaltmak.
Polymorphic (Polimorfik): Antivirüs yazılımı tarafından tespit edilmekten kaçınmak için zaman zaman şeklini tam anlamıyla değiştirir. Bunun daha gelişmiş bir şekli Metamoiphic virüs olarak adlandırılır; kendini tamamen değiştirebilir.
ROMBERTİK
Rombertik, Bu kötü amaçlı yazılım, web sitelerindeki kullanıcı kimlik bilgilerini okumak için kullanıyor. Çoğunlukla bir e-postaya ek olarak gönderilir. Belki daha da kötüsü, bazı durumlarda Rombertik ya sabit sürücüdeki ana önyükleme kaydının üzerine yazarak makineyi ön yüklenemez hale getirir ya da kullanıcı ana dizinindeki dosyaları şifrelemeye başlar. En büyük hasarını 2015 yılında yapmıştır.
GAMEOVER ZEUS
Gameover Zeus, eşler arası botnet oluşturan bir vim’dir. Esasen, virüs bulaşmış bilgisayarlar ile komut ve kontrol bilgisayarı arasında şifreli iletişim kurarak, saldırganın virüs bulaşmış çeşitli bilgisayarları kontrol etmesine olanak tanınır. 2014 yılında ABD Adalet Bakanlığı, komuta ve kontrol bilgisayarlarıyla iletişimi geçici olarak kapatmasına yol açtı. Bir komut ve kontrol bilgisayarı, diğer bilgisayarları kontrol etmek için botnet’te kullanılan bilgisayardır. Bunlar, bir botnetin yönetileceği merkezi düğümlerdir.
Botnet; robot ve network kelimelerinin birleşimiyle türemiştir. Birden çok bilgisayarın kontrolünü sağlamak ve uzaktan yönetimini sağlar.
CRYPTOLOCKER VE CRYPTOWALL
Fidye yazılımının en yaygın bilinen örneklerinden biri, ilk olarak 2013’te keşfedilen CryptoLocker’dır. CryptoLocker, kullanıcının dosyalarını kilitlemek için asimetrik şifreleme kullanmıştır. Farklı CryptoLocker türleri tespit edilmiştir. CryptoWall, ilk olarak Ağustos 2014’te bulunan bir CryptoLocker türüdür. CryptoLocker’a çok benziyordu ve aynı onun gibi davranıyordu. Hassas dosyaları şifrelemenin yanı sıra, bir komut ve kontrol sunucusuyla iletişim kuruyor ve hatta etkilenen makinenin ekran görüntüsünü almaktadır. Mart 2015 itibarıyla, casus yazılım TSPY_FAREIT.YOI ile birlikte gelen ve fidye için dosyaları tutmanın yanı sıra virüslü sistemden kimlik bilgilerini çalan bir CryptoWall varyasyonu keşfedildi.
FakeAV
FakeAV virüsü ilk olarak Temmuz 2012’de ortaya çıktı. Windows 95’ten Windows 7’ye ve Windows server 2003’e kadar değişen Windows sistemlerini etkiledi. Bu, sahte virüs uyarılarını ortaya çıkaran sahte bir antivirüs (yani FakeAV adı) idi. Bu, bu türden ilk sahte antivirüs kötü amaçlı yazılımı değildi, ancak en yenilerinden biriydi.
MACDEFENDER
Bu virüs, birçok nedenden dolayı oldukça ilginçtir. İlk olarak, özellikle Macintosh bilgisayarları hedefler. Uzmanların çoğu, Apple ürünlerinin nispeten virüssüz kaldığını, çünkü ürünlerinin virüs pazarlarının dikkatini çekmeye yetecek kadar pazar payına sahip olmadığını uzun zamandır kabul ediyor. Apple’ın daha büyük bir pazar payı elde etmesi durumunda, daha fazla virüs saldırısı almaya başlayacağından uzun süredir şüpheleniliyordu. Bunun doğru olduğu kanıtlanmıştır.
TROJ / INVO-ZIP
Bu özel solucan, ilk kez 2010 ortalarında bildirilen klasik bir solucan / Truva atıdır. Bir e-postaya eklenmiş bir zip dosyası olarak iletilir. E-posta, zip dosyasının bir fatura, vergi sorunu veya benzeri acil evrak işleriyle ilgili veriler içerdiğini iddia etmektedir. Bu, alıcıyı eki açmaya ikna etmeye çalışmanın klasik bir örneğidir ve bu durumda, ikna edilmesi en muhtemel alıcılar iş adamları olacaktır. Alıcı eki açarsa, makinesine önce güvenlik duvarını devre dışı bırakacak ve ardından finansal veriler dâhil olmak üzere bilgileri yakalama girişimine başlayacak casus yazılım yükleyecektir. Hatta kullanıcının masaüstünün ekran görüntülerini almaktadır.
W32 / NETSKY-P
Bu solucan ilk olarak 2006’da bulundu ve 2011’de hala aktifti öncelikle e-posta yoluyla yayılması açısından oldukça tipik bir vim’dir, ancak kendini kopyalamak için dosya paylaşım araçlarını da kullanır. Kendini çeşitli dizinlere ve paylaşılan klasörlere kopyalar. Ters köşe bir şekilde, kendisini şuraya kopyalamaya çalışıyor:
C: \ WINDOWS \ FVProtect.exe İsim, birçok insanı (teknik açıdan bilgili insanlar da dahil olmak üzere) bu programın aslında bazı anti virüs yardımcı programlarının bir parçası olduğunu düşündürür. Ayrıca kendisini C: \ WINDOWS \ userconfig9x.dll dosyasına kopyalar. Yine, bir sistem dosyası gibi görünecek ve bu da insanların onu silme olasılığını azaltacaktır.
Bu aynı zamanda, gönderdiği e-postanın oldukça genel bir başlığa ve alıcının eki açmasını sağlamaya çalışan içeriğe sahip olması nedeniyle klasik bir solucan / virüstür. Örneğin, mesajın gövdesi “Ayrıntılar için lütfen ekteki dosyaya bakın” veya “Dosyanız ektedir” gibi bir şey söylenebilir.
SOBİG VİRÜSÜ
Açıkçası bu yeni bir virüs değil, çünkü ilk olarak 2003’te bulundu. Ama üzerinde çalışılması mükemmel bir virüs çünkü medyanın ilgisini en çok çeken bir virüstü ve belki de en fazla zarara 2003’te sebep oldu. Bu virüs hakkında araştırılacak ilk ilginç şey yaymak için çok modlu bir yaklaşımı nasıl kullandığıydı.
Sobig Virüsü, yeni makinelere yayılması ve onları enfekte etmesi için birden fazla mekanizma kullandığı anlamına gelmektedir. Kendisini ağınızdaki herhangi bir ortak sürücüye kopyalar ve kendisini adres defterinizdeki herkese e-posta ile gönderilir. Sobig örneğinde, bir ağdaki bir kişi virüsü içeren bir e-postayı açacak kadar talihsizse, yalnızca makinesine değil, bu kişinin erişebildiği o ağdaki tüm paylaşılan sürücülere de virüs bulaşacaktır. Ama çoğu e-posta ile dağıtılan vims saldırısı gibi, Sobig de e-postanın bir kurban tarafından enfekte olduğunu belirlemek için kullanılabilecek e-posta konusunda veya başlığında anlatıcı işaretlere sahipti. E-postanın, ekli dosyayı açacak kadar meraklı olmanızı sağlayacak “örnek burada” veya “belge” gibi cazip bir başlığı olacaktır. Vims daha sonra kendisini Windows Sistem dizinine kopyalar. Bu özel vimler o kadar dosyaya yayılır ve o kadar çok ağa bulaşır ki, tek başına vimlerin birden çok kopyalanması bazı ağları durma noktasına getirmek için yeterlidir. Bu vimler dosyaları yok etmez veya sisteme zarar vermez, ancak bulaştığı ağları tıkayan büyük miktarda trafik oluşturur. Vimlerin kendisi orta derecede karmaşıktı. Bununla birlikte, bir kez çıktığında, durumu daha da karmaşıklaştıran birçok değişken ortaya çıkmaya başladı. Sobig’in bazı varyantlarının etkilerinden biri, İnternet’ten daha sonra yazdırma sorunlarına neden olur. Bazı ağ yazıcıları önemsiz şeyleri yazdırmaya başlar. Sobig. E değişkeni Windows Kayıt Defterine bile yazarak kendisinin bilgisayar başlangıcında olmasına neden oluyordu (F-Secure, 2003). Bu karmaşık özellikler, oluşturucunun Windows Kayıt Defterine ve ortak sürücülere nasıl erişeceğini, Windows başlangıcını nasıl değiştireceğini ve Outlook’a nasıl erişeceğini bildiğini gösterir.
MIMAIL VİRÜSÜ
İncelenmeye değer başka bir eski virüstür. Mimail vim’leri, Sobig kadar medyanın ilgisini çekmese de ancak ilgi çekici özelliklere sahiptir. Bu sadece adres defterinizden değil, aynı zamanda makinenizdeki diğer belgelerden de toplanan e-posta adreslerini ortadan kaldırır (Gudmundsson, 2004). Bu nedenle, sabit sürücünüzde bir Word belgeniz varsa ve o belgede bir e-posta adresi olsaydı, Mimail onu bulur. Bu strateji Mimail’in diğer birçok vim’den daha uzağa yayılacağı anlamına geliyordu. Mimail kendi yerleşik e-posta motoruna sahip, bu nedenle e-posta istemcinizi “geri almak” zorunda kalmaz. Hangi e-posta yazılımını kullandığınızdan bağımsız olarak yayılabilir.
BAGLE VİRÜSÜ
E-posta eklerini sahte virüs uyarısı ile birleştirmesi dikkat çekici yönü vardır. Bagle vim’leri, 2003’ün dördüncü çeyreğinde hızla yayılmaya başladı. Gönderdiği e-postanın sistem yöneticinizden geldiği iddia edilmektedir. E-posta hesabınıza bir virüs bulaştığını ve talimatları almak için ekteki dosyayı açmanız gerektiğini söylemektedir. Ekteki dosyayı açtığınızda, sisteminize virüs bulaşmış olur. Bu vim’ler, birkaç nedenden ötürü özellikle ilginçtir. Başlangıç olarak, hem e-posta yoluyla yayılır hem de kendisini paylaşılan klasörlere kopyalar. İkincisi, e-posta adreslerini arayan bilgisayarınızdaki dosyaları tarayabilir. Son olarak, antivirüs yazılımları tarafından kullanılan işlemleri devre dışı bırakır. Biyolojik açıdan, bu kurbanlar bilgisayarınızın “bağışıklık sistemini” ortadan kaldırıyor. Vims yazılımlarının devre dışı bırakılması, vims yaratıcısının en azından orta düzeyde programlama becerilerini gösteren yeni bir bilgiydi.
NONVIRUS VİRÜSÜ
Bir başka yeni vim türü, son birkaç yılda popülerlik kazanıyor ve bu aslında “mağdur olmayan ağlar” ya da basitçe bir hoax’dur. Bir bilgisayar korsanı, aslında bir vim yazmak yerine, sahip olduğu her adrese bir e-posta gönderir. E-posta, tanınmış bir virüsten koruma merkezinden geldiğini iddia eder ve dolaşımda olan yeni bir virüse karşı uyarır. E-posta, insanlara virüsten kurtulmak için bilgisayarlarından bazı dosyaları silmelerini söyler. Ancak dosya gerçekten bir virüs değil, bilgisayar sisteminin bir parçasıdır. Thejdbgmgr.exe virüs sahtekarlığı bu şemayı kullanmıştır. (Rhode Island Soft Systems, Inc., 2003). Okuyucuyu, sistemin gerçekten ihtiyaç duyduğu bir dosyayı silmeye teşvik eder. Şaşırtıcı bir şekilde, birkaç kişi bu tavsiyeye uydu ve yalnızca dosyayı silmekle kalmadı, aynı zamanda arkadaşlarına ve meslektaşlarına dosyayı makinelerinden silmeleri konusunda uyarmak için derhal e-posta göndermiştir.
MORRIS INTERNET SOLUCANI
Morris solucanı, şimdiye kadar İnternet üzerinden dağıtılan ilk bilgisayar solucanlarından biridir ve kesinlikle medyanın dikkatini çeken ilk solucan olma başarısı göstermiştir.
O zamanlar Cornell Üniversitesi’nde öğrenci olan Robert Tappan Morris, Jr. bu solucanı yazmıştır ve 2 Kasım 1988’de bir MIT sisteminden gönderirdi. Morris aslında bu solucanla zarar verme niyetinde değil bunun yerine, solucanı yaymak için kullanılan programlardaki hataları ortaya çıkarmasını istemiştir. Bununla birlikte, koddaki hatalar, bir bilgisayarın birden çok kez enfekte olmasına izin verir ve solucan bir tehdit haline gelir. Her ek “enfeksiyon” virüs bulaşan bilgisayarda yeni bir süreç doğurur. Belirli bir noktada, virüs bulaşmış bir makinede çalışan çok sayıda işlem, bilgisayarı kullanılamaz hale getirecek kadar yavaşlatmıştır. En az 6.000 UNIX makinesine bu solucan bulaştı.
Morris, 1986 Bilgisayar Dolandırıcılığı ve Kötüye Kullanım Yasasını ihlal etmekten suçlu bulundu ve 10.000 dolar para cezasına, 3 yıl gözetim ve 400 saat toplum hizmetine mahkûm edildi. Ancak bu solucanın belki de en büyük etkisi, Bilgisayar Acil Durum Müdahale Ekibinin (CERT) oluşturulmasına yol açmasıydı. CERT, güvenlik bültenleri, bilgiler ve yönergeler için bir depo olan Carnegie Mellon Üniversitesi’nde (www.cert.org/) barındırılan bir kuruluştur. CERT, herhangi bir güvenlik uzmanının aşina olması gereken bir kaynaktır.
FLAME
Flame, ilk olarak 2012’de ortaya çıkan bu virüs Windows işletim sistemlerini hedef aldı. Bu kötülükleri kayda değer kılan ilk öğe, ABD hükümeti tarafından casusluk için özel olarak tasarlanmış olmasıdır. Mayıs 2012’de İran hükümeti siteleri de dahil olmak üzere çeşitli yerlerde keşfedildi. Flame, ağ trafiğini izleyebilen ve virüslü sistemin ekran görüntülerini alabilen casus yazılımdır.
TROJAN HORSES (TRUVA ATLARI)
Truva atının iyi huylu görünen ama aslında kötü amaçlı bir program için kullanılan bir terimdir. Bir Truva atı aracılığıyla gönderilen virüsler zararsız bir iş yardımcı programı veya oyunu gibi görünen bir programı alabilir veya indirebilirsiniz. Büyük ihtimalle Truva atı, iyi huylu görünen bir e-postaya eklenmiş bir komut dosyasıdır. Programı çalıştırdığınızda veya eki açtığınızda, yapacağını düşündüğünüzden başka veya ona ek olarak başka bir şey yapar.
Örneğin;
• Bir web sitesinden zararlı yazılımlar indirebilir
• Makinenize bir Keylogger veya başka bir casus yazılım yükleyebilir
• Dosyalarınızı silebilir
• Bir bilgisayar korsanının kullanması için bir arka kapı açabilir
Yukarıdaki senaryoda, Truva atı bir virüs gibi yayılabilir. MyDoom virüsü, makinenizde daha sonraki bir virüs olan doomjuice’in yararlanacağı port açar ve böylece MyDoom’u bir kombinasyon virüsü ve Truva atı haline getirir.
Truva atı da özellikle bir birey için hazırlanmış olabilir. Bir bilgisayar korsanı, şirket muhasebecisi gibi belirli bir kişiye casusluk yapmak isterse, o kişinin dikkatini çekmek için özel olarak bir program hazırlayabilir. Örneğin, muhasebecinin hevesli bir golfçü olduğunu bilseydi, handikapı hesaplayan ve en iyi golf sahalarını listeleyen bir program yazabilir. Bu programı ücretsiz bir web sunucusuna gönderir. Daha sonra muhasebeci de dahil olmak üzere bir dizi kişiye e-posta göndererek onlara ücretsiz yazılım hakkında bilgi verir. Yazılım yüklendikten sonra, o anda oturum açmış olan kişinin adını kontrol edebilir. Oturum açılmış olan hesap muhasebecinin adıyla eşleşirse, yazılım daha sonra kullanıcının bilmediği bir şekilde dışarı çıkabilir ve bir Keylogger veya başka bir izleme uygulaması indirebilir. Yazılım dosyalara zarar vermediyse veya kendini çoğaltmadıysa, muhtemelen uzun bir süre boyunca fark edilmeyecektir. Yıllar boyunca çok sayıda Truva atı olmuştur. En eski ve en çok bilinenlerden biri Back Orifice idi.
Peki, Truva Atı Virüs mü Solucan mı?
Bir virüs ve bir solucan arasındaki ayrım konusunda uzmanlar arasında bir tartışmalar vardır.
Bazı uzmanlar, insan Müdahalesi olmadan yayıldığı için MyDoom’u (veya Sasser’ı) bir solucan olarak adlandırır. Bununla birlikte, bir virüsü kendi kendine çoğalabilen herhangi bir dosya olarak ve bir solucanı, insan müdahalesi. Bu aynı zamanda güvenlik uzmanları arasında bulacağınız en yaygın tanımdır
Böyle bir program, orta derecede yetkin herhangi bir programcının yetenekleri dahilinde olabilir. Bu, birçok kuruluşun herhangi bir yazılımı şirket makinelerine indirmeye karşı kurallara sahip olmasının bir nedenidir. Bir Truva atının bu şekilde özel olarak tasarlandığına dair herhangi bir gerçek olaydan habersizim. Bununla birlikte, virüs saldırıları yaratanların yenilikçi insanlar olma eğiliminde olduğunu unutmamak önemlidir.
Bir Truva atı oluşturmanın programlama becerisi gerektirmediğine de dikkat etmek önemlidir. İnternette Elitewrapper gibi çevrimiçi ücretsiz araçlar, kişinin iki yazılımı birleştirmesine izin verir, biri gizli ve diğeri gizli değildir. Son kullanıcı sadece poker oyununu görecekti, ancak çalıştırıldığında virüsü başlatacaktı. Dikkate alınması gereken başka bir senaryo ise oldukça yıkıcı bir senaryodur. Programlama ayrıntılarını açıklamadan, Truva atlarının ağır tehlikelerini göstermek için temel önermenin ana hatları özetlenecektir. X kişinin bir dizi tatsız fotoğrafını gösteren küçük bir uygulama hayal edin.
Bu uygulama muhtemelen ülkedeki pek çok insan, özellikle de ordu, istihbarat topluluğu veya savunma ile ilgili endüstrilerdeki insanlar arasında popüler olacaktır. Şimdi, bu uygulamanın makinede bir süre uykuda kaldığını varsayalım. Bir virüs gibi çoğalmasına gerek yoktur, çünkü bilgisayar kullanıcısı muhtemelen onu arkadaşlarının çoğuna gönderecektir. Yazılım, belirli bir tarih ve saatte, ağ sürücüleri dahil herhangi bir sürücüye bağlanır ve tüm dosyaları silmeye başlar. Böyle bir Truva atı 30 gün içinde “vahşi ortamda” serbest bırakılırsa, muhtemelen binlerce, belki de milyonlarca insana gönderilir. Binlerce bilgisayarın dosya ve klasörleri silmeye başladığını düşünün.
Bu senaryodan tam olarak sizi korkutmak için bahsedilmiştir. Daha iyi bilmesi gereken profesyoneller de dahil olmak üzere bilgisayar kullanıcıları, internetten eğlenceli flash videoları ve sevimli oyunlar gibi her türlü şeyi rutin olarak indirirler. Bir çalışan bu tür bir şeyi her indirdiğinde, bir Truva atı indirme riskine sahiptir. Çalışanlar bu uygulamaya yeterince uzun süre kullanırlarsa, sonunda bir şirketteki tüm bilgisayarlara bir Truva atı indireceklerini fark etmek için istatistikçi olmaya gerek yoktur.
Truva atları genellikle kullanıcıların kendileri tarafından yüklendiği için, bu saldırının güvenlik önlemi, son kullanıcıların indirmelerini ve yüklemelerini engellemektir. Kolluk kuvvetleri açısından, bir Truva atını içeren bir suçun araştırılması, Truva atının içeren bilgisayarın sabit sürücüsünün adli taramaya tabii tutulur.
Bir kişinin bir Truva atı oluşturmasına yardımcı olacak, bazı ücretsiz indirilebilen bir dizi araç sistemleri vardır. Sızma testlerinde kullanılan eLiTeWrap kullanımı kolaydır. Esasen, herhangi iki programı birbirine bağlayabilir. Bu gibi araçları kullanarak, herkes bir virüs veya casus yazılımı, poker oyunu gibi zararsız bir programa bağlayabilir. Bu, çok sayıda insanın ücretsiz bir oyun olduğuna inandıkları şeyi indirmelerine ve farkında olmadan kendi sistemlerine kötü amaçlı yazılım yüklemelerine yol açacaktır.
eLiTeWrap aracının kullanımı ise aşağıdaki gibidir;
Araç kullanımı için 2 adet dosya gereklidir.
Birinci dosya görünür olan kullanıcın görebileceği ve kullanacağı.
İkinci dosya ise görünmeyen arka planda çalışacak olan
Birinci dosyanın yüklenmesi
İşlemi girin:
■ 1- Sadece paket
■ 2- birinci dosya, asenkron olarak Paketle ve çalıştır
■ 3- İkinci dosya, asenkron olarak Paketle ve çalıştır
■ 4- birinci dosya, senkron olarak Paketle ve çalıştır
■ 5- İkinci dosya, senkron olarak Paketle ve çalıştır,
■ 6- birinci dosya, asenkron olarak sadece çalıştır
■ 7- İkinci dosya, asenkron olarak sadece çalıştır
■ 8- birinci dosya, senkron olarak sadece çalıştır
■ 9- İkinci dosya, senkron olarak sadece çalıştır
Komut giriniz.
İkinci dosyayı girin (arkaplanda çalışacak).
İşlemi girin.
Dosyalarla işiniz bittiğinde Enter tuşuna basın.
Şekil 1. Görseldeki örnekte, iki zararsız program bir Truva atında birleştirilmiştir. Seçilen programlar, bilgisayara zarar vermeyen basit Windows yardımcı programlarıdır. Ancak, meşru programları kötü amaçlı yazılımlarla birleştirip hedef bilgisayara ulaştırmanın ne kadar kolay olacağını göstermektedir.
Bu, bir Truva atı yaratmanın ne kadar kolay olduğunun bir örneği olarak sunulmuştur, bunu yapmanız için bir teşvik değil. Kötü amaçlı yazılımların yaygınlığını anlayabilmeniz için bu işlemin ne kadar kolay olduğunu anlamak önemlidir. Herhangi bir ek veya indirme, önemli bir şüpheyle ele alınmalıdır.
BUFFER OVERFLOW ATTACK (ARABELLEK TAŞMASI)
Saldırılar arasında hizmet reddi, virüs ve Trojan atları var. Bu saldırıların en bilindik tipler olmasına karşın, saldırıların hepsi bunlarla sınırlı değildir. Bir sisteme saldırmanın başka bir yolu ise buffer-overflow (ya da buffer-overrun) saldırısıdır. Buffer-overflow saldırısı kişinin bir buffer üzerine tasarlandığından fazla veri koyması ile olur (searchSecurity.com, 2004a). Internet veya özel bir ağ içerisinde iletişim kuran herhangi bir program içeri bir miktar veri almalıdır. Bu veri hafızadaki buffer denen tampon bölgede geçici de olsa saklanır. Uygulamayı yazan programcı dikkaliyse, buffer bölümüne olduğundan fazla veri koymaya çalıştığınızda, bu bilgi ya traşlanır ya da tamamen reddedilir. Hedef sistemde çalışan uygulamaların sayısı ve her bir uygulamadaki buffer oranı düşünüldüğünde, düzgün yazılmamış bir buffer olma ihtimali bile ihtiyatlı bir kişinin ilgisini hemen çekecektir.
Programlamada orta derecede becerisi olan biri bile buffer üzerine tutabileceğinden daha fazla veriyi bilerek yazacak bir program yazabilir. Örneğin, buffer eğer 1024 byte tutabiliyor ve siz onu 2048 byte ile doldurmaya çalışırsanız, fazladan 1024 byte kolayca belleğe yüklenebilir. Bu fazla veri kötü amaçlı bir programsa, hafızaya yüklenmiş ve hedef sistemde çalıştırılıyor olur. Ya da, belki de gizlice sisteme sızmaya çalışan kişi sadece hedef makinenin hafızasını doldurmaya çalışıyordur ve bu yüzden hâlihazırda hafızada olan diğer öğelerin üzerlerine veri yazarak sistemin çökmesini sağlamaya çalışıyordur. Her iki durumda da buffer overflow ciddi bir saldırıdır.
Şanslıyız ki, buffer overflow saldırıları DoS veya basit MS Outlook betik virüslerinden daha zor yapılabiliyor. Bir buffer overflow saldırısı düzenlemek için, iyi bir programlama dili (C veya C++ en çok tercih edilen) bilginiz olmalı ve hem işletim sistemini hem de uygulamayı overflow zayıflığının olup olmadığı ve bu zayıf noktaların kötü amaçlar için kullanılabilip kullanılamayacağını bilecek kadar bilmesiniz.
Modern işletim sistemlerinin ve web sunucularının genelde bilindik buffer overflow saldırılarına karşı pek de açık olmadığını bilmemiz gerekmektedir. Windows 95 fazlasıyla bu konuda sorunluydu ama bir Windows işletim sisteminin bu duruma açık olma durumu uzun zamandır söz konusu değildir. Kesinlikle Windows 7, 8 ve 10 bu tür buffer overflow konusunda ödün vermeyecektir. Ancak, farklı sistemlerde çalıştırılmak üzere geliştirilmiş özel uygulamalar için bunların hepsi geçerli olmayabilir. Internete bağlı bir uygulamanın bu saldırıya her zaman maruz kalabileceğini söylemek mümkündür ve bundan web uygulamaları da hariç tutulamaz.
Aslında bu açık sadece programcılar programlamayı doğru yapmadığında olur. Eğer bütün programlar fazla veriyi tıraşlarsa, buffer overflow o sistem üzerinde çalıştırılamaz. Ancak, program değişkenlerin ve dizilerin sınırlarını kontrol etmez ve fazladan verinin yüklenmesine izin verirse, sistem o zaman buffer overflow saldırısına açık hale gelir.
SASSER VİRÜSÜ / BUFFER OVERFLOW
Bu eski bir saldırıdır ama buffer-Overflow saldırısının nasıl kullandığını açıkça gösterir Sasser wimlerin buffer overran açığını kullanarak yayıldığı kombine bir saldırı türüdür.
Sasser virüsü Windows sistem programındaki bilinen bir açığı kullanarak çoğalır. Sasser kendisini Windows dizininin için avserve.exe olarak kopyalar ve başlangıçta hemen başlaması için bir Kayıt anahtarı oluşturur. Bu yolla, makineniz bir kere virüse maruz kalması durumunda, makineyi her başlattığınızda virüsü de başlatmış oluyorsunuz. Virüs rastgele IP adreslerini tarar ve bulaşabilecek sistemleri bulmak için 1068 TCP portundan başlayarak sonraki portları dinler ve böylelikle bu açık için gerekli yamaları almamış sistemleri bulur. Bir tane bulur bulmaz, açık sisteme Windows işletim sisteminin bir parçası olan LSASS.EXE içindeki buffer üzerine fazla veri akışı sağlayarak girer. Bu çalıştırılabilen dahili bir sistem dosyasıdır ve Windows’un bir parçasıdır. Sasser aynı zamanda 5554 TCP portunda çalışan bir FTP sunucu olarak da kendini gösterir ve 9996 TCP portunu uzaktan çalışan bir kabuk oluşturur. Sonra, Sasser cmd.ftp adında bir FTP betiği oluştururu ve onu uzaktaki bilgisayarda çalıştırır. Bu FTP betiği virüsü enfekte olan makineden indirip çalıştırmasının komutunu verir. Enfekte olan makine bu trafiği 5554 TCP portunu kabul eder. Bilgisayar C: sürücüsünde win.log arında bir dosya oluşturur. Bu dosya yerel sunucunun IP adresini içerir. Virüsün kopyaları Windows System dizininde #_up.exe adıyla oluşturulur. Örnekleri şu şekildedir:
c:\WINDOWS\system32\12553_up.exe
c:\WINDOWS\system32\l 7923_up.exe
c:\WINDOWS\system32\29679_up.exe
Bu virüsün bir yan etkisi girdiği makineyi yeniden başlatmasıdır. Herhangi başka bir neden dolayı değilse, sürekli yeniden başlayan bir makine Sasser den etkilenmiş olabilir.
Bu, enfeksiyonun farklı yollarla kolayca önlenebileceği bir başka durumdur. Önce, düzenli olarak sisteminizi güncellerseniz, sistemleriniz bu açığa karşı daha güvenli olur. Sonra, ağ yönlendiriciniz veya firewall ’unuz yukarıda belirtilen kapılardan gelen trafiği (9996 ve 5554) engelliyorsa, Sasser’in vereceği zararı azaltmış olursunuz. Firewall ’unuz sadece belirlenen kapılardan trafiğe izin vermeli; diğer bütün kapılar kapalı olmalıdır. Kısaca, ağ yöneticisi olarak siz güvenlik hususları hakkında bilgiliyseniz ve ağınızı korumak için ihtiyatlı adımlar atıyorsanız, ağınız güvenli olacaktır. Birçok ağın bu virüs tarafından etkilendiği gerçeği ağ yöneticilerinin bilgisayar güvenliği konusunda yeterli derecede eğitilmediklerini göstermektedir.
SPYWARE (CASUS YAZILIM)
Suçu işleyen bakımından casus yazılım kullanmak diğer bazı zararlı yazılım biçimlerine göre daha fazla teknik bilgi gerektiriyor. Suçu işleyecek olan kişi belirli bir durum için bir casus yazılım geliştirmeli veya kendi gereksinimlerine göre var olan bir casus yazılımı özelleştirmelidir. Ancak bu şekilde hedef makine üzerine casus yazılımı aktarabilir.
Casus Yazılım ziyaret etmekte olduğunuz bir web sitesi hakkında birkaç kısa bilgiyi kaydeden bir çerez veya şifre kayıt tutucular gibi daha sinsi bir tür de olabilir. Şifre kayıt tutucular klavyenizde yaptığınız her tuş basışını kaydeder; bu casus yazılım bu basışları casus dosyasına aktarır. Şifre kayıt tutucuların en ortak kullanımı kullanıcı adları ve şifrelerin yakalanması üzerinedir. Ancak, bu metot her kullanıcı adını ve şifreyi kaydettiği gibi yazdığınız her belgeyi de kaydeder ve tabi yazdığınız her şeyi de. Bu veri daha sonra kullanılmak üzere makinenizde küçük bir gizli dosyada saklanır veya daha önceden belirlenmiş adreslere TCP paketleri olarak gönderilir. Bazı durumlarda, yazılım bu veriyi farklı sunuculara kopyalamak üzere beklemeye bile alınabilir ve hatta belli olmayan e-mail adreslerine yönlendirebilir. Ayrıca, o an bilgisayarınızda açık olan her şeyi ortaya çıkaracak ekran görüntülerini belli aralıklarla alan şifre kayıt tutucuları da mevcuttur. Ne tür operasyon türü olursa olsun, casus yazılım bilgisayarınızdaki etkinliklerini sürekli takip eder.
Casus Yazılımın Yasal Kullanımı
Casus yazılımların hukuki kullanımı da mevcuttur. Bazı işverenler çalışanlarının şirket teknolojisini kullanma yöntemlerini takip etmek amacıyla casus yazılımlara başvurmaktadır. Birçok şirket, şirket dahilindeki telefon, e-mail ve web trafiğini takip etmek için bu yöntemi kullanmaktadır. Unutmamak gerekir ki bilgisayar, ağ ve telefon sistemleri şirket veya kurumların malıdır; çalışanların değil. Bu teknolojilerin iş amaçlı kullanılması beklenmektedir; bu yüzden, şirket takibi bir mahremiyet ihlali olarak görülmemektedir. Mahkemeler bu durumu şirketin hakkı olarak görse de bu tür bir çalışan takibi yapmadan önce bir avukat ile konuşulması ve çalışana bu durumun doğurabileceği olumsuz etkileri göz önünde bulundurulması önem arz etmektedir.
Ebeveynler de çocuklarının internetteki etkinliklerini takip etmek için ev bilgisayarlarında bu tür bir yazılım kullanmayı tercih edebilirler. Burada amaç takdire şayan bir uygulama olmalıdır ve çocuğunuzu çevrimiçi alanlardan korumak yönünde olmalıdır. Yine de şirketteki çalışanlar gibi, böyle bir uygulama takip edilen taraftan yani çocuklardan şiddetli bir tepki gelmesine neden olabilir. Ebeveynler bir tarafta çocukları bir tarafta da güven kırıcı olabilir şeyleri görme arasındaki riski ciddi bir şekilde göz önünde bulundurmalıdırlar.
VİRÜSLERDEN KAÇINMA KURALLARI
Tüm vims saldırılarında (hoax hariç) ortak bir tema fark etmelisiniz, bu da bir tür eki açmanızı istemeleridir. Bir vim’in yayılmasının en yaygın yolu bir e-posta ekidir. Bu farkındalık, bir vim ile enfekte olma olasılığını büyük ölçüde azaltacak bazı basit kuralları beraberinde getirir;
– Bir Antivirüs yazılım kullanın. McAfee ve Norton en yaygın olarak kabul edilen ve kullanılan iki antivirüs yazılımıdır. Antivirüs yazılımınızı güncel tutmak için satın alabilir ve deneme sürümlerini kullanabilirsiniz. Hangisinin daha iyi olduğuna dair fikirlere girmeyeceğim. Çoğu kullanıcı için, dört ana antivirüs programından herhangi biri etkili olacaktır. Sırf hepsine aşina kalabilmek için kullanılan antivirüs programını düzenli aralıklarla değiştirebilirsiniz.
– Ekte ne olduğundan emin değilseniz açmayın.
– Arkadaşlarınız ve meslektaşlarınızla bir kod kelimesi bile değiş tokuş edebilirsiniz. Size bir ek göndermek isterlerse, kod kelimesini mesajın başlığına koymaları gerektiğini söyleyin. Kodu görmeden herhangi bir eki açmayın.
– Size gönderilen “güvenlik uyarılarına” inanmayın. Microsoft bu şekilde uyarılar göndermez. Düzenli olarak Microsoft web sitesini ve daha önce bahsedilen antivirüs web sitelerinden birini kontrol edin.
CASUS YAZILIMLAR HEDEF SİSTEME NASIL ULAŞIR
Açıkçası, casus yazılım programları bir bilgisayardaki tüm etkinlikleri izleyebilir ve bu bilgiler bir dizi farklı yöntemle başka bir tarafça alınabilir. Asıl soru şudur: casus yazılımlar ilk etapta bir bilgisayar sistemine nasıl girer? En yaygın yöntem bir Truva atıdır. Ziyaret ettiğinizde web sitesinin belirli bir Casus Yazılım sadece web sitesi araştırma sırasında arka planda indirilebilir olması da mümkündür. Tabii ki, bir işveren (veya ebeveyn) casus yazılımı yüklüyorsa, bir kuruluşun başka bir uygulamayı yükleyeceği şekilde gizlice yüklenebilir.
CASUS YAZILIMIN ELDE EDİLMESİ
Internet’ten edinilebilir olarak belirtilen diğer birçok yardımcı program ve araç göz önüne alındığında, muhtemelen birçok casus yazılım ürününü ücretsiz olarak veya çok düşük bir maliyetle çevrimiçi olarak alabileceğinizi öğrenmek sizi şaşırtmayacaktır. Sen Counterexploitation kontrol edebilirsiniz (www.cexx.org) Şekil 2’de gösterilen web sitesi, internette dolaşan bilinen casus yazılım ürünlerinin uzun bir listesi ve bunları kaldırmak için kullanabileceğiniz yöntemler hakkında bilgi için. SpywareGuide web sitesi (SpywareGuide, 2004) (www.spywareguide.com) eğer birinin bilgisayar faaliyetleri casusluk için bazı zorlayıcı bir neden hissediyorum hemen internetten alabilirsiniz casus yazılım listeler. Şekil 3’te bu siteden erişilebilen kötü amaçlı yazılım kategorilerini göstermektedir. Şekil 4’te gösterildiği gibi, bu sitede birkaç key logger uygulaması listelenmiştir. Bu uygulamalar, Absolute Keylogger, Tiny Keylogger ve yazım hatası gibi iyi bilinen anahtar kaydedicileri içerir. Çoğu internetten ücretsiz veya cüzi bir ücret karşılığında indirilebilir.
Bazı iyi bilinen Truva atları da bu sitede listelenmiştir (Şekil 5’te gösterildiği gibi), örneğin bir kişinin bilgisayarına indirilen ve daha sonra reklamlarla patlatan 2.düşünce uygulaması. Bu özel casus yazılım parçası, belirli web sitelerini ziyaret ettiğinizde bilgisayarınıza indirilen bir casus yazılımdır. Sisteminize veya dosyalarınıza doğrudan zarar vermemesi ve bilgisayarınızdan hassas bilgiler toplamaması iyi zararsızdır. Ancak, makinenizi istenmeyen reklamlarla doldurduğu için inanılmaz derecede can sıkıcıdır. Bu tür bir yazılım genellikle adware olarak adlandırılır. Çoğu zaman, bu reklamlar normal koruyucu pop-up engelleyiciler tarafından durdurulamaz, çünkü pop-up’lar ziyaret ettiğiniz bir web sitesi tarafından değil, makinenizde çalışan bazı hileli yazılımlar tarafından oluşturulur. Açılır pencere engelleyicileri yalnızca ziyaret ettiğiniz sitelerin yeni pencereler açmasını engellemek için çalışır. Web siteleri, tarayıcınızın bir pencere açmasına neden olmak için iyi bilinen komut dosyası teknikleri kullanır ve açılır pencere engelleyicileri bu teknikleri tanır ve reklam penceresinin açılmasını önler. Ancak, adware yeni bir tarayıcı örneği başlatırsa, pop-up engelleyicinin işlevini atlar.
DİĞER KÖTÜ AMAÇLI YAZILIM BİÇİMLERİ
Bu ve önceki bölümlerde, en belirgin kötü amaçlı yazılım biçimleri tartışılmıştır. Bununla birlikte, başka birçok saldırı şekli vardır. Bunların her birini keşfetmek bu kitabın kapsamı dışındadır, ancak bu diğer kötü amaçlı yazılım biçimlerinin varlığının farkında olmalısınız. Sadece farkında olmak, sisteminizi verimli bir şekilde savunmanıza izin vermek için uzun bir yol kat edebilir.
ROOTKIT
Bir rootkit, bir bilgisayar korsanının izinsiz girişini maskelemek ve bir bilgisayara veya bilgisayar ağına yönetici düzeyinde erişim elde etmek için kullandığı bir araç koleksiyonudur. Davetsiz misafir, bilinen bir güvenlik açığından yararlanarak veya bir şifreyi kırarak, kullanıcı düzeyinde erişimi ilk aldıktan sonra bir bilgisayara bir rootkit yükler. Rootkit daha sonra kullanıcı kimliklerini ve şifrelerini ağdaki diğer makinelere toplar, böylece hacker’a root veya ayrıcalıklı erişim sağlar.
Bir rootkit, aynı zamanda yardımcı programlardan da oluşabilir.
■ Trafiği ve tuş vuruşlarını izler
■ Hacker’ın kullanımı için sisteme bir arka kapı oluşturur
■ Günlük dosyalarını değiştirir
■ Ağdaki diğer makinelere saldırır
■ Algılamayı önlemek için mevcut sistem araçlarını değiştirir
Bir ağda bir rootkit’in varlığı ilk olarak 1990’ların başında belgelendi. O zamanlar, bir rootkit kurmak isteyen bir bilgisayar korsanı için Sun ve Linux işletim sistemleri birincil hedeflerdi. Günümüzde rootkit’ler bir dizi işletim sistemi için mevcuttur ve herhangi bir ağda tespit edilmesi giderek zorlaşmaktadır (searchSecurity.com, 2004b).
MALICIOUS WEB-BASED CODE (KÖTÜ AMAÇLI WEB TABANLI KOD)
Web tabanlı mobil kod olarak da bilinen kötü amaçlı bir web tabanlı kod, HTTP, Java vb. gibi tüm işletim sistemleri veya platformlar için taşınabilir bir kodu ifade eder. “Kötü amaçlı” kısım, bunun bir vims, (ağ) solucan, Truva atı veya başka bir kötü amaçlı yazılım türü olduğunu ima eder. Basitçe söylemek gerekirse, kötü amaçlı kod işletim sisteminin ne olabileceğini veya hangi tarayıcının kullanıldığını umursamıyor. Hepsini körü körüne enfekte eder. (Yakabovicz, 2003).
Bu kodlar nereden geliyor ve nasıl yayılıyor? İnternetin ilk nesli çoğunlukla dizine eklenmiş metin dosyalarıydı. Bununla birlikte, İnternet; grafik, multimedya kullanıcı deneyimi haline geldikçe, programcılar daha etkileşimli bir deneyim sağlamak için betik dilleri ve yeni uygulama teknolojileri oluşturdular. Herhangi bir yeni teknolojide olduğu gibi, betik dilleri ile yazılmış programlar, yararlı olandan kötü hazırlanmış ve düpedüz tehlikeli olan gamutu çalıştırır.
Java ve ActiveX gibi teknolojiler, bu buggy veya güvenilmez programların kullanıcı iş istasyonlarına taşınmasına ve çalıştırılmasına izin verir. (Kötü amaçlı kodu etkinleştirebilen diğer teknolojiler yürütülebilir dosyalar, JavaScript, Visual Basic Script ve eklentilerdir.) Web (Ağ), program kalitesi, bütünlük veya güvenilirlik arasında ayrım yapmadan kodun hareketliliğini artırmak için hareket eder. Mevcut araçları kullanarak, kodu daha sonra web sunucularına yerleştirilen ve kuruluş genelinde çalışanlara veya İnternet’teki bireylere sunulan belgelere “sürükle ve bırak” kodunu vermek oldukça basittir. Bu kod kötü amaçlı olarak programlanmışsa veya yanlış test edilmişse, ciddi hasara neden olabilir.
Şaşırtıcı olmayan bir şekilde, bilgisayar korsanları bu çok kullanışlı araçları veri dosyalarını çalmak, değiştirmek ve silmek ve kurumsal ağlara yetkisiz erişim sağlamak için kullandılar. Kötü amaçlı bir kod saldırısı, web siteleri, e-posta iletilerindeki HTML içeriği veya kurumsal intranetler de dahil olmak üzere çeşitli erişim noktalarından kurumsal ağlara ve sistemlere nüfuz edebilir. Bugün, milyarlarca İnternet kullanıcısı ile yeni kötü amaçlı kod saldırıları şirketler aracılığıyla neredeyse anında yayılabilir. Kötü amaçlı kodun neden olduğu hasarın çoğu, ilk darbe saldırısının gerçekleşmesinden sonraki ilk saatlerde gerçekleşir. Karşı önlemler için zaman olmadan önce. Ağ kesintisi veya IP hırsızlığı maliyetleri, kötü amaçlı kodu en önemli öncelik haline getirir (finjan software, 2004).
LOGIC BOMBS (MANTIK BOMBALARI)
Bir mantık bombası, belirli bir kriter yerine getirildiğinde kötü amaçlı amacını yerine getiren kötü amaçlı bir yazılım türüdür. En yaygın faktör tarih/saattir. Örneğin, bir mantık bombası belirli bir tarih/saatte dosyaları silebilir. Bir örnek Roger Duronio vaka örneğidir. Haziran 2006’da, UBS için bir sistem yöneticisi olan Roger Duronio, şirketin bilgisayar ağına zarar vermek için bir mantık bombası kullanmakla suçlandı. Planı, mantık bombasından kaynaklanan hasar nedeniyle şirketin hisselerini düşürmekti, bu yüzden menkul kıymet sahtekârlığı ile suçlandı. Duronio daha sonra mahkûm edildi ve 8 yıl 1 ay hapis cezasına çarptırıldı ve UBS’YE 3.1 milyon dolar tazminat ödemesi hükmedildi.
Mantık bombasının bir başka güzel örneği de Michael Lauffenburger vaka örneğidir. Haziran 1992’de, savunma yüklenicisi General Dynamics’in bir çalışanı olan Lauffenburger, şirketin sistemlerine bir mantık bombası yerleştirdiği için tutuklandı. Bu mantık bombası, hassas proje verilerini silmek için tasarlanmıştı. Lauffenburger, eksik verilerin nedeninin fark edilmeyeceğini ve sorunu “düzeltmek” için danışman olarak geri dönebileceğini umuyordu. Neyse ki, General Dynamics’in bir başka çalışanı, tetiklenmeden önce mantık bombasını ortaya çıkardı ve kapsamlı bir soruşturma başladı. Lauffenburger bilgisayar kurcalama ve dolandırıcılık girişiminde bulunmakla suçlandı. Tüzük, 500.000 Amerikan Dolarına kadar para cezasına ve hapis cezasına izin verirken, sadece 5.000 Amerikan Doları para cezasına çarptırıldı ve hapis cezasına çarptırılmadı.
Başka bir örnek ipotek şirketi Fannie Mae’de meydana geldi. 29 Ekim 2008’de şirketin sistemlerinde bir mantık bombası keşfedildi.1 Bu mantık bombası, işi sonlandırılan eski bir müteahhit Rajendrainh Makwana tarafından yerleştirilmişti. Bomba 31 Ocak 2009’da devreye girecek ve şirketin tüm sunucularını tamamen silecek şekilde ayarlanmıştı. Makwana, 27 Ocak 2009’da bir Maryland mahkemesinde yetkisiz bilgisayar erişimi için suçlandı. 17 Aralık 2010’da mahkum edildi ve 41 ay hapis cezasına çarptırıldı, ardından serbest bırakıldıktan sonra 3 yıl şartlı tahliye edildi. Bu davayla ilgili en ilginç şey, Makwana’nın işinin sonlandırıldığı zaman ile ağ yöneticilerinin, onun ağ erişimini iptal ettiği zaman arasında mantık bombasını yerleştirmesidir. Bu, eski çalışanların hesaplarının, istihdamları sona erdiğinde derhal devre dışı bırakılmasını sağlamanın önemini göstermektedir. Bu, istemsiz bir fesih, emeklilik veya gönüllü istifa olup olmadığı için de geçerlidir.
SPAM (İSTENMEYEN E-POSTA)
Spam, çoğu okuyucunun muhtemelen aşina olduğu bir şeydir. Spam, birden fazla tarafa gönderilen istenmeyen ve karşı tarafın rızası olmadan gönderilen e-postadır. Genellikle pazarlama amaçlı kullanılır, ancak çok daha kötü niyetli amaçlar için de kullanılabilir. Örneğin, Spam, bir virüs veya ağ solucanı(worm) yaymanın yaygın bir yoludur. Spam, alıcının kimliğini çalmak için alıcıları Kimlik Avı web sitelerini ziyaret etmeye teşvik eden e-postalar göndermek için de kullanılır. Esasen, Spam, en iyi ihtimalle bir sıkıntı ve en kötü ihtimalle casus yazılımlar, virüsler, ağ solucanları ve Kimlik Avı saldırıları için bir araçtır.
ADVANCED PERSISTENT THREATS (GELİŞMİŞ KALICI TEHDİTLER)
Gelişmiş kalıcı tehditler, genellikle APTs olarak kısaltılır, sürekli bir saldırı süreci için nispeten yeni bir terimdir. Bilgisayar korsanlığı, sosyal mühendislik, kötü amaçlı yazılım veya saldırı kombinasyonlarını içerebilir. Sorun şu ki, saldırı nispeten karmaşık olmalı, bu nedenle terim gelişmiş olmalı ve devam etmeli, bu nedenle terim kalıcı olmalıdır.
Güvenlik firması Mandiant, hepsi Çin menşeli, özellikle Şangay ve Pudong bölgesi olmak üzere 7 yıllık bir süre boyunca birkaç APT’yi takip etti. Bu APT’ler sadece APT1, APT2 ve benzeri olarak adlandırılmıştır.
Saldırılar, Çin ordusunun 61398 birimine bağlandı. Çin hükümeti bu birimin faaliyetlerini gizli olarak görüyor, ancak saldırgan siber savaşın görevlerinden biri olduğu anlaşılıyor. Bu gruptaki APT’lerden sadece biri, 20 farklı endüstride 141 şirketi tehlikeye attı. APT1, kurban ağlarına ortalama 365 gün ve bir durumda 1,764 gün boyunca erişimi sürdürebildi. APT1, 10 aylık bir süre boyunca tek bir kuruluştan 6.5 terabayt bilgi çalmaktan sorumludur.
VİRÜSLERİ VE CASUS YAZILIMLARI TESPİT ETMEK VE ORTADAN KALDIRMAK
Kötü amaçlı yazılımların doğasını ve ne kadar yıkıcı olabileceğini anladıktan sonra, bir sonraki mantıklı konu kötü amaçlı yazılımların nasıl tespit edileceği ve kaldırılacağıdır.
Antivirüs Yazılımı
Bu bölümde ve bu kitap boyunca, virüs tarama yazılımını çalıştırma ihtiyacı tartışılmıştır. Bu noktada, antivirüs yazılımlarının nasıl çalıştığı ve büyük virüs tarama yazılım paketleri hakkında bilgi ve bazı ayrıntılar sağlamak akıllıca olacaktır. Bu bilgiler, bir antivirüs yazılımının sisteminizi nasıl koruyabileceğini daha iyi anlamanıza ve bazı virüsten koruma çözümlerinin satın alınması ve dağıtımı ile ilgili akıllı kararlar almanıza yardımcı olacaktır.
Bir antivirüs yazılımı iki yoldan biriyle çalışabilir. Birincisi, bilinen bir virüsle eşleşen bir imza (veya desen) aramaktır. Bu nedenle, antivirüs yazılımınızı güncel kullanmak çok önemlidir ki böylelikle antivirüs yazılımının birlikte çalışması için en son imza listesine sahip olursunuz. Bir antivirüs yazılımının belirli bir bilgisayarı kontrol edebilmesinin bir başka yolu da yürütülebilir dosyanın davranışına bakmaktır. Bu program, virüs etkinliği ile tutarlı bir şekilde davranırsa, antivirüs yazılımı bir virüs olarak işaretleyebilir. Bu tür faaliyetler aşağıdakileri içerebilir:
Kendini kopyalama
Sistemin e-posta programının adres defterine erişme
Windows kayıt defteri ayarlarını değiştirme
Şekil 6’da Norton Antivirus yazılımının nasıl çalıştığını göstermektedir. Virüs tanımlarının güncel olduğunu, virüs taramasının etkin olduğunu, otomatik korumanın etkin olduğunu ve İnternet solucanı korumasının da etkin olduğunu görebilirsiniz. Diğer popüler antivirüs yazılımları aynı özelliklerin çoğuna sahiptir.
Çoğu virüsten koruma yazılımı bugün ek özellikler sunar. Bu özelliklerden bazıları, bilinen Kimlik Avı web sitelerinin kullanıcısını uyarmayı, casus yazılımları ve virüsleri tespit etmeyi ve hatta olası Kimlik Avı girişimlerini tespit etmeyi içerir. Herhangi bir modem antivirüs, virüsleri durdurmak yerine çeşitli saldırılara karşı koruma sağlayan kapsamlı bir paket olmalıdır.
Casus Yazılım Önleme Yazılımı
Neyse ki, birçok farklı casus yazılım uygulaması olduğu gibi, piyasada casus yazılımları tespit etmek ve kaldırmak için özel olarak tasarlanmış birçok farklı yazılım uygulaması da vardır. Bu uygulamalar genellikle son derece düşük maliyetle de mevcuttur. Daha akıllı bir satın alma kararı verebilmeniz için sınırlı bir süre için kullanmak için genellikle ücretsiz bir deneme sürümü edinebilirsiniz. Tabii ki, bilgisayarınıza casus yazılım bulaşmasını önlemek için yapabileceğiniz en ihtiyatlı eylem, çok iyi bilinen ve güvenilir bir web sitesinden gelmeyen internetten hiçbir şey indirmemektir. Bununla birlikte, kurumsal bir ortamda, çalışanlarınıza doğru şeyi yapmaları için güvenemezsiniz. Bir şirketin bilgisayar güvenliği uzmanı olarak, çalışanların sistem güvenliğinizden ödün vermemesi için adımlar atmak akıllıca olacaktır.
En iyi bilinen ve yaygın olarak kullanılan casus yazılım önleme uygulamalarından biri www.spectorsoft.com’dan Spector Pro’yu içerir. Bu tür uygulamaların çoğu 20 ila 50 Amerikan Doları aralığında bir fiyata satın alınabilir ve birçoğu ücretsiz deneme sürümü sunar. Çoğu modem antivirüs yazılımı ya casus yazılım önleme içerir ya da bir seçenek olarak eklenebilir.
İyileştirme Adımları
Açıkçası, ilk adım güncel antivirüs yazılımı çalıştırmaktır. Herhangi bir virüsten koruma programını onaylamıyorum. McAfee, Norton, AVG, Kaspersky ve MalwareBytes, hepsi saygın ürünlerdir. Bununla birlikte, hem ana bilgisayar tabanlı antivirüs hem de ağ antivirüsünü kullanıyorsanız, iki farklı satıcıdan ürünler kullanmanızı öneririm. O zaman birinin gözden kaçırdığı şeyi, diğerinin yakalaması muhtemeldir.
Antimalware (Kötü amaçlı yazılıma karşı) yazılımını çalıştırmanın yanı sıra, güvenlik uzmanlarının kötü amaçlı yazılım riskini azaltmak için atabileceği özel adımlar vardır. Hedefin kötü amaçlı yazılım tehdidini azaltmak olduğunu unutmayın. Bu tür tehditleri tamamen ortadan kaldırmak imkânsızdır, ancak hem saldırıların sıklığını hem de hasarın şiddetini azaltabilirsiniz.
İlk adım son kullanıcıları eğitmektir. Son kullanıcılar kötü amaçlı yazılım yaygınlığının farkında olmalıdır. Amaç, ağınızdaki tüm kullanıcıların eklerden ve indirmelerden şüphelenmesidir. Tabii ki, ekli belgelerin kullanılmasını gerektiren iş ihtiyaçları vardır. Ancak, kullanıcıları herhangi bir eki açmadan önce kendilerine sormaları gereken birkaç basit soru hakkında eğitebilirsiniz:
Bu ek bekleniyor muydu? Bilmediğiniz veya herhangi bir ek beklemediğiniz kişilerden gelen ekler her zaman potansiyel kötü amaçlı yazılım olarak ele alınmalıdır.
E-posta, “Bunlar dün toplantımızda tartıştığımız üçüncü çeyrek satış raporları” gibi belirli içerikli mi? Bu, bu e-postanın; gerçek bir belge eklenmiş, gerçek bir e-posta olmasının muhtemel olduğunu gösterir. Ancak, “İşte belgeniz” gibi genel içerikli e-postalar veya kullanıcıyı acilen Eki açması gerektiğine ikna etmeyi deneyen e-postaların kötü amaçlı yazılım olduğundan şüphelenilmelidir.
Şüpheniz varsa, teknik desteğe başvurun. Bir e-posta ekinin orijinalliği hakkında önemli şüpheleriniz varsa, açmayın. Teknik destek isteyin
Bu basit adımlar birçok kötü amaçlı yazılım salgınını ortadan kaldıracaktır. Daha karmaşık başka bir adım var, ancak bilgisayarlarınızı kötü amaçlı yazılımlara karşı neredeyse bağışık hale getirecektir. Önce bilgisayarınızda sanal bir makine kurun. VMware gibi çeşitli sanal makine uygulamaları vardır. Oracle Box ücretsizdir. Daha sonra bu sanal makineye (VM), ana bilgisayarın çalıştırdığı işletim sisteminden başka bir işletim sistemi yükleyin. Yani ana bilgisayarınız Windows 10 ise, VM Linux’u çalıştırmalıdır. Ana bilgisayarınız Macintosh ise, Windows’u VM’de çalıştırın. Şimdi, sanal makinenin(VM) içinde internette geziniyorsanız, ana makinede vims almak neredeyse imkânsızdır. Bugüne kadar, hiçbir vims VM/ana bilgisayar bariyerini atlamadı ve hiçbir vims birden fazla işletim sistemine bulaşmadı. Java virüslerinin veya belirli bir web sayfası kötü amaçlı yazılımının farklı sistemlerdeki tarayıcıları enfekte edebileceğine dikkat edilmelidir. Ancak, genel bir mle olarak, Windows için yazılmış bir Vims, bir Macintosh bilgisayarı etkilemez ve bunun tersi de geçerlidir.
KAYNAKÇA
Computer Security Fundamental Third Edition. Kitap
https://tr.wikipedia.org/wiki/Malware
https://www.kaspersky.com.tr/resource-center/threats/viruses-worms