BİLGİ GÜVENLİĞİ DERSİ 2015-2016 GÜZ Öğr.Gör.İnan ÜNAL Tunceli Üniversitesi Bilgisayar Mühendisliği Öğr.Gör.İnan ÜNAL www.inanunal.com 1
Kötücül yazılım (malware) bulaştığı bir bilgisayar sisteminde veya ağ üzerindeki diğer makinelerde zarara yol açabilecek yazılımların genel adıdır. En genel kötücül yazılımlar; virüsler soluncalar (worm) Truva atları (Trojan horse) arka kapılar (backdoor) mesaj sağnakları (spam) kök kullanıcı takımları (rootkit) telefon çeviriciler (dialer) korunmasızlık sömürüleri (expolit) klavye dinleme sistemleri (keylogger) tarayıcı soyma (browser hijacking) casus yazılımlar (spyware) Öğr.Gör.İnan ÜNAL www.inanunal.com 2
Öğr.Gör.İnan ÜNAL www.inanunal.com 3
Kirli yazılım (scumware) olarakta ifade edilen kötücül yazılımlar hemen hemen her programlama dili veya betik (script)* yazılabilmekte ya da birçok dosya içinde taşınabilmektedir. Yapılan bir araştırmada elde edilen sonuçlara göre; Geniş bant** bağlantısı bulunan bilgisayarların yaklaşık %90 ında casus yazılım bulunduğu tahmin edilmektedir. Casus yazılımlar windows uygulama çökmelerinin üçte birinden sorumludur. Şirketlerin %96 sı virüs korunma yazılımları kullanmasına rağmen bu şirketlerin zarar gördükleri saldıdırların %78 i yine virüs ve solucanlardır. *Yazılı yönerge, adım izlencesi **Geniş bant terimi, Bir telekominikasyon cihazının Öğr.Gör.İnan veya ÜNAL sinyalinin www.inanunal.com başka bir standart veya olağan bir sinyal ya da 4 cihazdan daha geniş bant genişliğine (trafik için daha büyük kapasiteye) sahip olması anlamına gelir
1. Bilgisayar Virüsleri En tehlikeli ve en eski kötücül yazılım olarak kabul edilir. Kendi kopyalarını çalıştırılabilir diğer kodlara veya belgelere yerleştirerek yayılan ve kendi kendine çoğalan programlardır. Bilgisayar virüsleri biyolojik virüslerin birçok özelliğine benzer özellikler taşırlar. Virüsler sistem bileşenlerine göre dört sınıfta toplanabilirler; 1. Dosya virüsleri 2. Önyükleme (boot) virüsleri 3. Makro virüsleri 4. Betik (script) virüsleri Öğr.Gör.İnan ÜNAL www.inanunal.com 5
Dosya virüsleri; yayılmak için kendilerini çeşitleri dizinlere kopyalayarak veya virütik kodlarını çalıştırılabilir dosyalara bulaştırarak, işletim sistemi dosya sitemini kullanan virüs türleridir. Önyükleme (boot) virüsleri: sabit disk veya disketin Ana Önyükleme Kaydını (Master Boot Record) değiştirerek bilgisayarın her açılışında virütik kodun çalışmasını sağlayan virüslerdir. En ünlüsü Çernobil Virüsüdür. Makro Virüsleri: Word ve Excel gibi güçlü makro desteği olan masaüstü programları kullanan ve bunlara ait belgelerin açılışında çalışan makrolar ile yayılan virüs türleridir. Betik( Script ) Virüsleri: Visual Basic, JavaScript, BAT (toplu işlem dosyası), PHP gibi betik dilleri kullanılarak yazılan virüslerdir. Öğr.Gör.İnan ÜNAL www.inanunal.com 6
2. Bilgisayar Solucanları ( Computer Worms) Bilgisayar virüslerine benzer bir yapıda olan solucanlar, virüsler gibi bir başka çalıştırılabilir programa kendini iliştirmez veya bu programın parçası olmazlar. Solucanlar, yayılmak için başka bir programa veya virüslerde olduğu gibi insan etkileşimine ihtiyaç duymayan kendi kendine çoğalan bir yapı arz ederler. Bir solucanın yayılmasında en yaygın kullandığı yöntemler arasında e-posta, FTP ve HTTP gibi internet hizmetleri bulunmaktadır. Öğr.Gör.İnan ÜNAL www.inanunal.com 7
Solucanlar, bir sistemi ele geçirdiklerinde, kullanıcının başka bir eylemine ihtiyaç duymadan, kullanıcının veri kaynaklarını kullanarak (e-posta adres listesi gibi) kendi kaynak dosyalarını hızlı bir şekilde diğer kullanıcılara da ulaştırmayı denerler ve bu yolla kendilerini çok fazla sayıda çoğaltabilirler. Solucanlar bunu yaparken kullanıcıların bant genişliklerini ve ağ kaynaklarını kullandıklarından ağların kilitlenmesine, e-posta sunucularının aşırı yüklenmesine veya Web kaynaklarına erişim hızının düşmesine sebep olabilmektedirler. Öğr.Gör.İnan ÜNAL www.inanunal.com 8
3. Truva Atları Truva atı adı verilen zararlı yazılımlar ise kendilerini kullanıcılara faydalı bir program gibi göstererek karşıdan yüklenilmelerini sağlarlar. Temelde iki farklı dosya içerirler. Bunlardan birincisi kullanıcıya yollanılan dosyadır. Bu dosya kullanıcının kendisini bilerek veya bilmeyerek çalıştırması durumunda bilgisayarın bir portunu kendisi için açarak, programcısına kullanıcının bilgisayarına erişebilme imkanı sunar. Programcı ise ikinci dosyayı çalıştırarak kullanıcının bilgisayarına ulaşabilmektedir. Öğr.Gör.İnan ÜNAL www.inanunal.com 9
3. Truva Atları Truva atı programcıları ulaştıkları bilgisayardaki kullanıcıların kişisel bilgilerini (şifre, kredi kartı bilgileri, önemli dokümanlar) elde etmek amaçlı kullanmaktadır ve bu durum kullanıcılara virüs ve solucanlardan daha fazla zarar vermektedir. Ayrıca truva atları sistemde bilinmeyen açık bir kapı bıraktıklarından programcılarının bilgisayara kolayca başka kötü amaçlı yazılımlar yükleyebilmesine imkan vermektedir. Öğr.Gör.İnan ÜNAL www.inanunal.com 10
3. Truva Atları Genel Truva atları dışında; Truva arka kapıları (Trojan Backdoor): bulaştığı makinenin uzaktan kontrolünü sistem yöneticisinin farkında varmadan saldırgana veren araçlar içerir. PSW truva atları (PSW Trojan): kişisel bilgisayarda bulunan şifreleri çalmak için kullanılır. Truva Tıklayıcılar (Trojan clickers): hedef kullanıcının belirli bir siteye veya internet kaynağına yöneltmeyi sağlayan truva atıdır. DoS (Denail of Service) saldırıları için kullanılmaktadır. Öğr.Gör.İnan ÜNAL www.inanunal.com 11
3. Truva Atları Truva indiriciler (Trojan downloaders): hedef makineye yeni bir kötücül yazılım veya reklam yazılımı indirip kurmak için bir ara basamak oluşturur. Truva damlacıkları (Trojan deroppers): başka bir kötücül sisteme yerleşmesini sağlayan bir ara basamak vazifesi görür. Truva vekilleri (Trojan proxies): hedef makinenin internet erişimini bir vekil sunucu (Proxy server) gibi saldırganın hizmetine açar Öğr.Gör.İnan ÜNAL www.inanunal.com 12
3. Truva Atları Truva casusları (Trojan spies): tuş takımları, ekran görüntüleri, etkin uygulama kayıtları ve diğer kullanıcı faaliyetlerini toplayan ve bu bilgileri saldırgana gönderen truva atlarıdır. Truva bildiriciler (Trojan notifiers): Saldırgana Truva atının bulaştığını bildiren yapılardır. Hedef bilgisayara ait IP adresi, açık kapğı numaraları ve e-posta adresleri gibi bilgiler e-posta, ICQ v.s ile veya saldırganın web sitesine gönderilir. Arşiv bombaları (ArcBombs): sıkıştırılmış arşiv dosylarını açan programları sabote etmek için kodlanmış arşiv dosylarıdır.çalıştırıldığında hedef bilgisayar yavaşlar ve çöker. Öğr.Gör.İnan ÜNAL www.inanunal.com 13
Virüs, Solucan ve Truva Atları Arasındaki Farklar: Virüsler yayılabilmek için kullanıcının kendisini diğer kullanıcılara bilerek veya bilmeyerek yollamasını beklerler, solucanlar ise böyle bir şeye gerek duymadan bir bilgisayara girdiği anda kendisini çoğaltmaya ve yeni kullanıcıların bilgisayarlarına ulaşmaya çalışırlar. Solucanlar genellikle ağ kaynaklarını hedef alırken, virüsler daha çok bulaştığı bilgisayarın sistem kaynakları üzerinde etki gösterirler. Truva atlarının hedefi ise sistem üzerinde delikler yaratarak programcısına bu bilgisayara müdahale edebileceği bir ortam yaratmaktır. Öğr.Gör.İnan ÜNAL www.inanunal.com 14
4. Casus Yazılımlar (Spyware): Casus yazılım, kullanıcılara ait önemli bilgilerin ve kullanıcının yaptığı işlemlerin, kullanıcının bilgisi olmadan toplanmasını ve bu bilgilerin kötü niyetli kişilere gönderilmesini sağlayan yazılım olarak tanımlanır. Özellikle internet kullanıcıları tarafından sistemlere farkında olmadan bulaştırılmaktadırlar. Casus yazılımın amacı kurban olarak seçilen sitem üzerinde gizli kalarak istenen bilgileri toplamaktır. Öğr.Gör.İnan ÜNAL www.inanunal.com 15
5. Arka Kapılar (Backdoor): Bilgisayar üzerinde sıradan incelemelerle bulunmayacak şekilde, normal kimlik kanıtlama süreçlerini atlamayı veya kurulan bu yapıdan haberdar olan kişiye o bilgisayara uzaktan erişmeyi sağlayan yöntemler arka kapı olarak adlandırılmaktadır. En sık karşılaşılan arka kapı yöntemi, hedef sistemde, dinleme ajanı iliştirilmiş bir kapıyı (port) açık tutmaktır. Arka kapılar ve Truva atları her ikiside sisteme sızmaya yarayan kötücül yazılımdır. Truva atı faydalı bir program gibi gözükürken, arka kapı sadece sistemi erişimi sağlayan gizli yapılardır. Öğr.Gör.İnan ÜNAL www.inanunal.com 16
6. Mesaj Sağanakları (Spams): Sağanak, reklam, ürün tanıtım ve satma veya diğer kötü amaçlarla kişilerin e-posta hesaplarına istemedikleri mesajlarla meşgul etmesidir. Öğr.Gör.İnan ÜNAL www.inanunal.com 17
7. Klavye Dinleme Sistemleri (Keyloggers): Kullanıların klavyeden girdiği bilgileri yakalayıp tutan ve bunları saldırgana gönderen casus yazılımlardır. En etkili bilgi toplama yöntemidir. Öğr.Gör.İnan ÜNAL www.inanunal.com 18
8.Tarayıcı Soyma (Browser Hijacking): URL enjeksiyonu (URL injection) olarak da adlandırılan tarayıcı soyma, internet tarayıcı ayarlarını her zaman veya sadece belirli bölgeler için kullanıcının belirlediği tarzın dışında davranmasına yol açan yazılımdır. En basit olarak tarayıcı açıldığında gösterilen başlangıç sayfasını( home page), istenilen sitenin adresi yapmak olabilir. Öğr.Gör.İnan ÜNAL www.inanunal.com 19
9. Telefon Çeviriciler (Dailers) Genellikle milletler arası uzak mesafe telefon numaralarını, hedef bilgisayar modeminin internet servis sağlayıcısının bağlantı numarası ile değiştirilir. Bazıları ise tuş takım bilgilerini ve şifre gibi önemli bilgileri, kullanıcı belli bir süre aktif olmadığı anda, korsana telefon hattı kullanarak gönderirler. Bir örnek Öğr.Gör.İnan ÜNAL www.inanunal.com 20
10.Kök Kullanıcı Takımları (Rootkit): UNİX işletim sistemlerinde yönetici anlamına gelen root isminden gelen kök kullanıcı takımları, saldırganın bir sitemin konrtolünü ele geçirdikten sonra, bilgisayar sistemine eklenen yazılımlardır. Rootkit, bilgisayara bulaşan, çalışan işlemler arasında kendini gizleyen, kötü niyetli kişilere, uzaktan bilgisayarınızın tam hakimiyetini sağlayan tespit edilmesi oldukça zor olan bilgisayar programıdır Öğr.Gör.İnan ÜNAL www.inanunal.com 21
11.Korunmasızlık Sömürücüleri(Exploit): exploited: sömürülen, Belirli bir güvenlik korunmasızlığını hedef alan türde saldırılar üretebilen kötücül yazılımlardır. bilgisayar programlarında bulunan zayıflık veya hatalar için kullanılır. Bir Exploit genellikle açığa gösteriş olarak yazılır ve İnternet'te yayınlanmaz. Bu yapılan uzman dilinde "Proof of Concept" olarak adlandırılır. Bunun sayesinde yazılım üreticisi hızlı bir şekilde açığı bilmeli ve gerekeni yapmalıdır. Öğr.Gör.İnan ÜNAL www.inanunal.com 22