Wardom.Org BĠLGĠSAYAR GÜVENLĠĞĠ Yusuf ALTUN (Önemli not: Aşağıda anlatılan teknikler sistem yapılandırmanızla doğrudan ilişkili olduğu için ileri seviye bilgisayar kullanıcıları dışındakilere tavsiye edilmez. Çünkü anlatılanlar haricine çıkılarak yapılacak bir hata sisteminizin yapılandırmasını bozacağı için tehlikelidir.) Ġnternet üzerinden iletiģim artık vazgeçilmez bir olay haline gelmiģtir. Gelecek yıllarda tüm bilgisayarların bu devasa ağa bağlanabileceği hesaba katılırsa insanların henüz tam olarak tanıyamadıkları internet, artıları ve eksileriyle bizleri beklemektedir. Artıları elbette tartıģılamayacak kadar fazladır fakat insanların fazla bilmedikleri eksileri ise neredeyse artıları kadar fazladır. Siz bilgisayarınızın baģında oturarak internetin nimetlerinden faydalanırken, baģka bir kullanıcı sizin bilgisayarınıza internet üzerinden girerek tahmin dahi edemeyeceğiniz zararlar verebilir. Mesela bilgisayarınızın hard diskini formatlayabilir, En tehlikeli virüsleri size bulaģtırarak sisteminizin zarar görmesine sebep olabilir. Gizli zannettiğiniz Ģifrelerinizi alabilirler. Bunlardan daha tehlikelisi ise sizin bilgisayarınızı ya da internet giriģ Ģifrelerinizi kullanarak suç iģleyebilir ve sorumlu olarak siz aranabilirsiniz. Mesela Bursa da bir öğrenci interpol tarafından suç iģlediği için Türk yetkililerine bildirilerek yakalanmıģtır. Öğrencimizin suçsuz olduğu daha sonradan anlaģılmıģtır. Aslında öğrencimiz sade bir internet kullanıcısıdır ve bilgisayarını kullanan kiģilerin saldırısına uğramıģtır. Örneklerin sayısı her geçen gün artmaktadır. Güvenlik konusuna geçmeden önce bilgisayarın iģleyiģi ile ilgili temel birkaç bilginin verilmesi gerekiyor. Ağ (Network) birden fazla bilgisayarın birbirlerine bağlanarak bilgilerin paylaģımı esasıyla çalıģır. Ağ daki her bilgisayarın bir ismi vardır ve bir bilgisayardan çıkarak diğerine giden bilgi alıcı ve gönderici bilgisayar bilgilerini kullanarak yerine ulaģır. ĠĢte bu sırada alıcı gibi davranabilen bir bilgisayar sizin bilgilerinize ulaģabilir. Ġnternet de aslında büyük bir ağdır. Ġnternational Network (uluslar arası ağ)kelimelerinin kısaltılmasıyla ortaya çıkmıģtır. Ġnternet ortamında her bilgisayarın ĠP olarak isimlendirilen bir adresi vardır. Her ĠP adresi ***.***.***.*** formatındadır. Örneğin superonline kullanıcısı olan bir bilgisayarın ĠP si 212.252.145.218 Ģeklinde olabilir. Kulanıcıların ĠP adresleri internete her bağlantı kurulduğunda değiģir(ġayet statik ĠP tercihi yapmamıģ iseniz.). Fakat hangi saat ve tarihte, hangi telefon ve ĠP numarası ile nereye bağlanıldığı gibi bilgiler ĠSS(Ġnternet servis sağlayıcısı) tarafından dosyalandığı için yapılan bir suçun tesbitide kolaylaģmaktadır. Bilgisayarların internet üzerinde nasıl tanındığını çok basit bir Ģekilde anlattıktan sonra bilgisayarların internete bağlanırken nasıl çalıģtığı üzerine de birkaç Ģey söylemek gerekir. Bilgisayarlarda bulunan veriler internete giderken veya aynı Ģekilde bilgiler size gelirken sanal kapılar olarak kabul edilen portlardan geçerler (Bazı bilgiler hariç). Portları bilgisayara giriģ kapıları olarak ta düģünebiliriz. ĠĢte sizin internetteki en önemli güvenlik noktanız bu portlardır. ġayet portlarınız açık ise baģka bir kulanıcı bilgisayarınıza girerek, sizin bilgisayarınızda yapabileceğiniz herģeyi yapabilir. Bu noktada bilgisayarı korumanın en iyi yolunun portları kontrol etmekten geçtiği
elbette anlaģılmıģtır. (isteyen kullanıcılar için meselenin teknik detayını içeren dosyaları gönderebilirim). Temel bilgileri verdikten sonra bilgisayarınıza yapılabilecek saldırılar ve bunları önlemenin yolları üzerine yazıya devam edebiliriz. TROJANLAR Trojanlar aslında sizin bilgisayarınızın baģka bir bilgisayar tarafından ağ üzerinden kontrol edilmesine yarayan programlardır. Bilgisayarınızın portlarından herhangi birisini açarak diğer kullanıcıların bilgisayarınıza girmesini sağlarlar. Server ve Client dosyalarından oluģur. Server portları açarak bilgisayarınızı hedef haline getirirken, Client ise bilgisayarınıza girilmesini sağlar. Örneğin bir kullanıcıya trojan bulaģtırarak bilgisayarına girelim. Ġcq da hedef seçtiğimiz(vaya chat te) kurbanımıza elimizde bulunan Server programını herhangi bir Ģekilde gönderiyoruz. Güzel bir program kullan vazgeçemeyeceksin diyebileceğimiz gibi, içinde mükemmel bir resim arģivi var istersen bir bak diyerek te kurbanın Server programını almasını ve çalıģtırmasını sağlayabiliriz. (Aslında trojanlar baģka programlara entegre edilerekte karģı tarafa bulaģtırılabilirler(truva atı). Mesela kurbanımıza çok popüler Ġcq programını trojan ile birleģtirilmiģ halde verebilirsiniz. Bu durumda kurban Ġcq yu çalıģtırdığında normalde farklı hiçbir Ģey fark etmeyecektir.) Kurbanımız gönderdiğimiz Server programını çalıģtırınca trojanı bilgisayarına bulaģtırmıģ olacaktır. Bu aģamadan sonra kurbanımızın ĠP sini alarak bilgisayarına girmek kalıyor. Bizdeki Client programını çalıģtırdığımızda bizden bir ĠP numarası isteyecek. Oraya bulduğumuz kurbanımıza ait ĠP yi yazarak Connect tuģuna bastığımızda kurbanımızın bilgisayarına bağlanmıģ oluyoruz. Artık gerisi size kalmıģ, ister format atın, ister internet giriģ Ģifrelerini çalın.(meseleyi anlatırken teknik detaya girerek insanların dergimiz aracılığıyla bu iģi öğrenmelerini istemedik. Verilen bilgiler sadece korunma amaçlıdır.) Kurbanımızda varolan trojan silinmediği sürece varlığını devam ettirecektir. Bugün benim girebildiğim bu bilgisayara yarın baģka birisi girerek istediğini yapabilir. Ġnternet ortamında trojan yediği halde haberi olmayan bir çok insan vardır. Port Scanner diye bilinen programlarla bu insanları tesbit ederek, sahip olduğu trojana göre kullanacağımız bir Client programı sayesinde bu bilgisayarlara da girebiliriz. Port Scanner programıyla kontrol etmeniz durumunda internette 10 dakika içinde Netbus 2.0 (20034 numaralı portu kullanır.) trojanını yiyen en az 5 kiģi bulabilirsiniz. Norton veya Mcaffe tarafından tanınmayan trojan sayısı çok sınırlı olduğu için bu anti virüs yazılımlarından birini yüklemeniz durumunda trojanların ekserisinden korunmuģ olursunuz. (kendi bilgisayarımda denemediğim trojan kalmadı Norton 5.0 anti virüs programı trojanları yakalama konusunda harika. Fakat schoolbus isimli trojanı bulamıyor. AĢağıda bu trojanın nasıl temizleneceği anlatılıyor.). Aslında çoğu trojan internet üzerinde sörf yaparken birisi sizin bilgisayarınıza girmediği sürece zararsızdır. Ġnternette iken bilgisayarınızda bir trojan olup olmadığını anlamanın çok kolay bir yolu vardır. Ayrıca bir trojan varsa bile, bilgisayarınızın içindeki bu casusun kimlere bilgisayarınızın kapılarını açtığını da öğrenebiliriz. Dos ortamında netstat -an komutunu yazarak enter tuģuna basarsanız bilgisayarınızın internet ortamındaki tüm bağlantılarını görebilir ve anormal bir durum olup olmadığını kontrol edebilirsiniz. Eskiden herbir trojanın kullandığı port numarası farklı idi. Örneğin netbus ın ilk versiyonu 12345 numaralı portu kullanırken Bo trojanı 31337 numaralı portu kullanıyordu. ġimdilerde ise her bir trojan kullanıcının(trojanı size
bulaģtırmak isteyen kiģi) isteğine göre değiģebilen portları açabiliyor. Bu nedenle trojanların kullandığı portlarda bir anormallik gözünüze çarpmasa bile bu bilgisayarınızda trojan yoktur anlamına gelmez. Peki trojanlar bilgisayarımıza nasıl bulaģırlar. Chat te veya Ġcq da muhabbet ederken size gönderilen herhangi bir resim(aslında çalıģabilir bir program olup resim iconu yerleģtirilmiģtir) ve dosya trojan taģıyor olabilir. Sizin o dosyayı açmanızla birlikte bilgisayarınıza da trojan bulaģacaktır. Korunmanın en iyi yolu dosya almamak. Hatta dosyayı aldığınız kiģi tanıdık bile olsa dosya almamak. Çünkü o da gönderdiği programda trojan olduğunu bilmiyor olabilir. AĢağıda bilgisayarınızın kullandığı portların numaraları vardır. Bu port numaraları haricinde bir bağlantınız var ise muhtemelen bir trojandır. Fakat Ġcq programı çalıģıyor veya Chat te muhabbet halinde iseniz. Normal harici kullanılan portlar olacaktır. Bu portları Chat programınız veya Ġcq programınzı açmıģ olabilir. AĢağıda en çok kullanılan trojanlar ve kontrol ettikleri portlar verilmiģtir. Gerisi size kalmıģ. (Aşağıda trojanlara yönelik verilen bilgiler ve savunma yöntemleri server dosyasının ayarları değiştirilmediği takdirde geçerlidir. Fakat Çoğunlukla ayarlar değiştirilmeden kullanılır) SUBSEVEN: Adı: ratgele seçilmiģ bir isim. (uyfghj.exe gibi) Boyutu: 374 KB YerleĢtiği yer: ÇalıĢtırıldığı dizin Start up yöntemi: Win.ini dosyasına ekleme yaparak En belirgin özelliği: Çok zengin kullanım seçenekleri sunması. Özellikleri: En yaygın trojandır. Kullanım kolaylığı ve bağlantı anında sağladığı geliģmiģ özellikleriyle tercih sebebidir. Bağlanılan bilgisayarın registery ayarları, Ģifreleri, icq ve mail hesapları kolayca kullanılabilir. File manager ile karģı bilgisayarın dosyalarına eriģebilir, key logger ile hedef bilgisayarda klavye aracılığıyla yazılan herģeyi görebilir, screen capture özelliği ile hedef bilgisayarın anlık ekran görüntüsüne mous ile müdahele edebilirsiniz. Kısacası son derece geliģmiģ ve profesyonelce hazırlanmıģ bir remote control aracıdır subseven(daha bir çok özelliği de vardır.). Edir server ile server programı kullanıcı tarafından ayarlanabilir. Yani kullanılan port, start up metodu ve server dosyasının iconu değiģtirilebilir. Bu Ģekilde bulunması da zorlaģmaktadır. Fakat çoğu kullanıcı subseven ı default ayarlarıyla kullanmaktadır. Aslında bu da bizim için bir avantajdır. Bu ayarlar bilindiği için bulunması da kolay olur. Subseven sadece hedef bilgisayara zarar vermeyi amaçlayan bir trojan da değildir. Aynı zamanda bu trojanı baģkalarına bağlanmak için kullanan kiģinin de bilgisayarında ki özel bilgileri internetten baģkalarına göndermektedir(sisteminize bir firewall programı kurarak sadece subseven client programını çalıģtırmanız durumunda 20-30 dk sonra }-xæø gibi anlamsız isimlere sahip bir dosya aracılığıyla bilgileriniz internette ilgili kiģiye gönderilir. Muhtemelen subseven ı yapan Ģahsa. ).Ayrıca yine client programının çok kullanımı sonrasında sistem ayarlarınız değiģebilmekte,
programlarınız çalıģmayı durdurabilmektedir. Default olarak(yani edit server ile değiģtirilmemiģse) 27374 numaralı port u kullanır. Start up metodu olarak kendini win.ini dosyasına Windows altına "run= dosya ismi" ekler. Dosya ismi rastgele seçilmiģ bir isimdir. Bu satır sayesinde bilgisayarın her açılıģında kendini yükleyerek 27374 numaralı port u açık hale getirerek bekler. Port ları açmak için kullanılan bu dosya c:\windows altında bulunur. Temizlenmesi: Öncelikle subseven ın kullandığı yardımcı server programını bulmalıyız. Biraz önce start up yöntemi olarak win.ini dosyasını kullandığını söylemiģtik. BaĢlat tan çalıģtır a gelerek win.ini yazıp enter a basın. KarĢınıza win.ini dosyasının içeriği gelecek. Burada [windows] NullPort=None Options=85663 device=trio DATAFAX,DATAFAX,WINSERVE: run=nyuw.exe [Desktop] TileWallpaper=0 WallpaperStyle=0 Pattern=(None) Wallpaper=C:\WINDOWS\WEBSHOTS.BMP... gibi satırlar karģınıza çıkmıģ olmalı. Windows altında run=nyuw.exe trojanımızın server programının ismi. Yani bilgisayar açıldığında bu program 27374 numaralı port umuzu açıyor. ġimdi "run=nyuw.exe" satırını silelim win.ini dosyasından saklayarak çıkalım. (fakat bahsettiğimiz bu server programı her makinede farklıdır. Yani rastgele seçilmiģtir. Sizin bilgisayarınızda run= dan sonra baģka bir isim yazıyor olmalı.) Burada dikkat etmemiz gereken server programımızın ismi. Bu ismi bir yere kaydederek. ĠĢlemimize devam edelim. Buraya kadar yaptıklarımızla artık bilgisayar açıldığında portlarımızı açan programın çalıģmasını önlemiģ olduk. Fakat server programı her açılıģta çalıģmasa bile hala bilgisayarımız içinde(aslında buraya kadarki iģlemlerle trojandan kurtulmuģ olduk. Yani artık zararsız.). BaĢlat tan bilgisayarı kapat ı seçin ve çıkan ekranda ms-dos kipinde baģlat seçeneğini aktif yaparak tamam tuģuna basın. Bilgisayarınız ms-dos kipinde açılacak. KarĢınıza c:\windows> iģareti gelecek. c:\windows>del nyuw.exe yukarıdaki satırı yazıp enter tuģuna basınca artık server programı bilgisayarınızdan silinmiģ olacak.(tabi ki siz nyuw.exe yerine win.ini de görüp kaydettiğiniz dosya ismini yazacaksınız.) SCHOOLBUS:
Adı: grcframe.exe(hidden olarak bulunur), runonce.exe Boyutu: 321 KB YerleĢtiği yer: c:\windows\system Start up yöntemi: System dizinine yerleģtiği için açılıģta sisteme yüklenir. En belirgin özelliği: Önceden norton ve mcafee tarafından bulunamıyordu. Fakat bu virüs tarama programlarının yeni sürümleri schoolbus ı buluyor. Özellikleri: Son zamanlarda özellikle Türkiye de oldukça yaygınlaģan bir trojandır. Bir Türk tarafından yapılmıģ olması ve norton tarafından bulunamaması en önemli yaygınlaģma sebebidir. Bağlantı yapıldıktan sonra bir çok kullanım seçeneği sunar(fakat subseven kadar zengin seçenekleri yoktur). Bu sayede karģı tarafın Ģifreleri, icq hesabı, dosyaları kontrol edilebilir. Edit server programı ile server dosyası istenildiği Ģekilde ayarlanabilir. Kullanılan port ve server dosyasının icon u değiģtirilebilir. Bu trojan bilgisayarınızın 54321 ve 4****(değiĢiyor sürekli) numaralı portlarını açar. Elbette bu portların açık olması için bilgisayarınızda sürekli çalıģır halde bir programın mevcut olması gerekli. Bu program c:\windows\system\ dizinindeki grcframe.exe isimli programdır. Schoolbus sadece bulaģtırılmıģ kiģiye zarar vermez. Aynı zamanda bu trojanı kötü amaçlar için kullanan kiģilerin Ģifrelerini de trojanı yapan kiģinin mail hesabına gönderir. Kısacası kullanan da bulaģtırılan da zarar görür. Ayrıca trojanımız c:\windows\system dizinindeki runonce.exe isimli bir backdoor virüsünü de bilgisayarınıza bulaģtırıyor. ĠĢte bu programların silinmesiyle trojanımız da etkisiz hale geliyor. Fakat windows ortamında bu programları silmenin imkânı olmadığı için dos ortamına geçmeliyiz. Temizlenmesi: Bilgisayarı kapat bölümünde Ms-dos kipinde baģlat seçeneğini iģaretleyerek bilgisayarı kapatın. Ekrana çıkan dos ekranında sırasıyla aģağıda söylenenleri yapın C:\windows> cd system C:\windows\system>attrib -h -r grcframe.exe (aradaki boģluklara dikkat ediniz) C:\windows\system>del grcframe.exe C:\windows\system>del runonce.exe Trojandan bu Ģekilde kurtulmuģ olursunuz. Sisteminizi yeniden baģlatın. BO (BACK ORĠFĠCE)(BO2K 2000): Adı: bo2k.exe Boyutu: 112 KB
YerleĢtiği yer: ÇalıĢtırıldığı dizin. Start up yöntemi: TCP/IP yapılandırmasında kullanılan bir dosyaya enfekte olarak sisteme bu sürücünün çalıģtırılmasıyla yüklenir. En önemli özelliği: Sistemde bir sürücüye enfekte olarak çalıģır. Dolayısıyla bulunması zordur. Özellikleri: Yaygın olarak kullanılan trojanlardan birisidir. En önemli özelliği kendisini TCP yapılandırmasında kullanılan sürücülerden birine enfekte ederek görülemez hale getirmektir. Bu sebeple bu yazıda bahsedilen start up yöntemlerinin hiç birisiyle tesbit edilemez. Çünkü kendisi direkt olarak çalıģıyor görünmez. Bilgisayarın kullanmak zorunda olduğu sürücülerden birisine kendisini yerleģtirir ve o sürücü sisteme yüklenince otomatik olarak sisteme yerleģir;.com ve.exe virüslerinin mantığına sahip. Bu pek de bilinmeyen özelliği dıģında, kurbana gönderilen server programı istenildiği gibi ayarlanabiliyor(port, dosya adı değiģebiliyor). Bağlantı kurulan makiye yönelik çok zengin bir kullanım seçeneği mevcut. Default olarak 31337 numaralı (ya da 54321) portu kullanır. server programının ismi bo2k.exe(config programı ile bu isim değiģtirilebilir), boyutu 112 KB dır. Bu dosya herhangi özel bir dizine kendisini kopyalamaz. ÇalıĢtırıldığı dizin içerisinde kalır. Zaten çalıģtırıldıktan sonra silmeye kalkarsanız windows tarafından kullanıldığı için silinemez mesajını alırsınız. Temizlenmesi: Diğer trojanlar gibi sistemde direkt çalıģmadığı için temizlenmesi için de farklı bir yöntem takip edilir. Kendisini TCP yapılandırmasında kullanılan sürücülere enfekte ederek sisteme yüklediği için, bozulmuģ olan bu sürücülerin yenilenmesi ile sistemde çalıģamaz hale gelir. Bunun için de o an mevcut olan TCP yapılandırmasının kaldırılarak sisteme yeniden kurulması gerekir. Bunun için baģlat-ayarlar-denetim masasına gelmeliyiz. Burada Ağ adıyla belirtilen icona tıkladığımızda karģımıza ağ yapılandırmamız gelecek.
Burada TCP/IP ile gösterilen seçeneği iģaretleyerek kaldır butonuna basarsak TCP/IP yapılandırmamızı kaldırmıģ oluruz.
Buradan Tamam butonuna basarak çıkıyoruz. Bize bilgisayarı yeniden baģlatma ile ilgili bir ekran çıkacak tamam diyerek bilgisayarı yeniden baģlatın. Bilgisayarınız yeniden baģladığında biraz önce kaldırdığımız TCP/IP yapılandırmasını tekrar kuracağız. Bunun için baģlat-ayarlar-denetim masası buradan ağa tıkladığımızda karģımıza çıkan ekranda ekle butonuna basıyoruz. Buradan çıkan menüden iletiģim kurallarını tıkladığımızda çıkan ekranda sol tarafta microsoft seçili iken sağ tarafta TCP/IP yi seçerek tamam larla menülerden çıkıyoruz.
Artık TCP/IP tekrar kurulmuģ oldu. Son olarak bilgisayarı tekrar kapatıp açtığımızda TCP/IP yüklenmiģ ve BO trojanından kurtulmuģ oluruz.(tabi bu iģlemler sırasında gerekli dosyaları kopyalayabilmek için sizden win98 cd si istenebilir.) START UP (BAġLANGIÇ) PROGRAMLARI: Bilgisayarımız açılırken bazı programlar sistem ihtiyaçlarından bazılarıda kullanıcı ihtiyaçlarından dolayı otomatik olarak çalıģtırılırlar. Örneğin bir virüs tarama programınız varsa baģlangıçta bu program otomatik olarak sisteminize yüklenir. BaĢlangıç programlarının çalıģma sistemini kavrayabilmek ve onları kontrol edebilmek trojanları ortadan kaldırmada en etkili yöntemdir. Start up dosyaları bilgisayarınız açılırken çeģitli yollarla kendisini sisteme yükler. 1) Win.ini BaĢlat a gelerek çalıģtırda win.ini yazıp enter a basarsanız aģağıdaki gibi bir metinle karģılaģırsınız. [windows] NullPort=None Options=85663 load= device=trio DATAFAX,DATAFAX,WINSERVE: run= [Desktop] TileWallpaper=0 WallpaperStyle=0 Pattern=(None) Wallpaper=C:\WINDOWS\WEBSHOTS.BMP
[intl] icountry=90 ICurrDigits=2 icurrency=3 idate=1 idigits=2 ilzero=1 imeasure=0 inegcurr=8 itime=1 itlzero=1 s1159= s2359= scountry=turkey scurrency=tl sdate=. sdecimal=, slanguage=trk slist=; slongdate=dd MMMM yyyy dddd sshortdate=dd.mm.yyyy sthousand=. stime=:...... yukarıdaki [windows] baģlığı altındaki "load= " ve "run= "ifadelerinden sonra gelecek olan dosya ismi bilgisayarınız tarafından açılıģta otomatik olarak sisteminize yüklenir. Bilgisayarınız için gerekli bazı dosyalarda burada bulunarak baģlangıçta çalıģtırılabilir. Fakat aynı yeri bir trojan da kullanabilir. Bu durumda hangi dosyanın trojan hangisinin normal bir dosya olduğunu ayırt etmek sizin elinizde. Trojan olduğunu tahmin ettiğiniz dosya ismini silerseniz trojanın açılıģta çalıģmasını önlemiģ olursunuz. Ama trojan hala bilgisayarınızdadır. Sadece çalıģması engellenmiģtir. 2) System.ini BaĢlat a gelerek çalıģtır da system.ini yazıp enter a basarsanız karģınıza aģağıdaki gibi bir dosya çıkar. [boot] oemfonts.fon=vgaoem.fon system.drv=system.drv drivers=mmsystem.dll ctpnpscn.drv power.drv shell=explorer.exe gdi.exe=gdi.exe sound.drv=mmsound.drv dibeng.drv=dibeng.dll comm.drv=comm.drv mouse.drv=mouse.drv keyboard.drv=keyboard.drv *DisplayFallback=0 fonts.fon=vgasys.fon
fixedfon.fon=vgafix.fon 386Grabber=vgafull.3gr display.drv=pnpdrvr.drv scrnsave.exe= user.exe=user.exe [keyboard] keyboard.dll= oemansi.bin=xlat857.bin subtype= type=4 [boot.description] system.drv=standart PC keyboard.typ=standart 101/102-TuĢlu veya Microsoft Natural Klavye aspect=100,96,96 mouse.drv=standart fare display.drv=3d Artist PA50...... yukarıdaki satırlar arasında yer alan(üstten 4. sırada) shell=explorer.exe satırına dikkat etmeniz gerekir. Bu satır da yazan dosya isimleri bilgisayarınız açılırken sisteme yüklenir (bu dosyanın trojan veya normal bir program olup olmadığını ayıretmek sizin elinizde). örneğin: shell=explorer.exe Winlog.exe Ģeklindeki bir satır tehlike iģaretidir. Explorer.exe ve winlog.exe açılıģta sisteminize yüklenmektedir. Explorer.exe sisteminizin kullandığı bir program olduğu biliniyor. Öyleyse winlog.exe muhtemelen bir trojandır. Bu satırda winlog.exe dosya ismini silerseniz shell=explorer.exe Ģeklinde değiģir satırımız. Artık açılıģta bu program çalıģtırılmayacak dolayısıyla portlarınız açılmayacaktır. Fakat bu ismi silmekle trojanı silmiģ olmayız sadece çalıģtırılmasını önlemiģ olduk. 3) C:\WIDOWS\SYSTEM dizini c:\windows\system dizini altında bilgisayarınızın kullanmıģ olduğu donanım sürücüleri ve daha pek program açılıģta bilgisayarınız tarafından sisteme yüklenir. Bu dizini yerleģtirilmiģ bir trojan (örneğin schoolbus bu Ģekilde grcframe.exe adındaki trojanı buraya kopyalar) bilgisayar açılırken sisteme yüklenir. ĠĢte bu dizin içinde yer alan dosyanın silinmesiyle trojandan kurtulmuģ olursunuz. Fakat windows ortamında silmeye kalkarsanız. Program Ģu anda kullanımda silemezsiniz gibi bir hata mesajıyla karģılaģırsınız. Bu sorunu aģmak için baģlat ta bilgisayarı kapat bölümünde Ms-Dos kipinde baģlat seçeneği iģaretli olarak kapatırsanız. Sistemininiz Ms-dos kipinde açılacaktır. c:\windows>
Ģeklinde bir satır karģınıza çıkacak. c:\windows>cd system yazıp enter a basarsanız c:\windows\system> satırı oluģur. ĠĢte burada silmek istediğimiz dosyanın adını yazarak silebiliriz. Örneğin dosyamız winloger.exe ise c:\windows\system>del winloger.exe satırını yazıp enter a basarsak dosya sistemden silinmiģ olur. 4)Registery BaĢlat ta regedit yazıp enter a basarsanız registery ayarlarına ulaģmiģ olursunuz. AĢağıda görüldüğü gibi buradan HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/ bölümüne geçersek aģağıdakine benzer bir ekranla karģılaģmıģ oluruz
Bu ekranda görülen Run, RunOnce, RunOnceEx, RunServices ve RunServicesOnce klasörleri bilgisayar açılırken sisteme yüklenecek programları belirtir. Mesela Run klasörünün içeriğine bakarsak aģağıdakine benzer bir ekran görürüz. burada görülen programlardan Ģayet trojan olduğunu düģündüğümüz varsa sağdaki bölümden program üzerine gelerek sağ tıkladığınızda çıkan menüden sil i seçerseniz dosya kayıttan silinmiģ olur. Bu iģlemi diğer bölümlerde de yapabilirsiniz(tabiki bu görüntüler benim bilgisayarımın yapılandırması sizin ki farklı olabilir. Yukarıda gösterilen programlardan LoadPowerProfil, ScanRegistry, SystemTray, TaskMonitor sistem tarafından kullanılan temel programlardan dır. Diğerleri kullanıcı tarafından eklenmiģ olabilir(sizin bilgisayarınız için de geçerli). Start up programlarının kontrolü: Bu programları kontrol edebilmek için windows ile birlikte gelen oldukça kullanıģlı her bilgisayarda olan bir program var. Msconfig.exe adındaki bu program ile start up (baģlangıç) dosyalarını kontrol edebilirsiniz. Dolayısıyla sizden habersiz hiçbir dosya bilgisayarınızda çalıģtırılamaz. BaĢlat ta çalıģtır a gelerek msconfig yazıp enter a basarsanız aģağıdaki gibi
bir ekranla karģılaģmıģ olursunuz. Görüldüğü gibi biraz önce bahsettiğimiz win.ini, system.ini ve registery ayarlarını buradan kontrol etmek de mümkün. Örneğin win.ini den tehlikeli gördüğümüz bir satırı kaldırmak istersek sadece yanındaki onay iģaretini siliyoruz. Bilgisayar açılırken o satırı çalıģtırmıyor. Fakat system.ini yi buradan düzeltmenizi tavsiye etmiyorum.
Ayrıca yukarıda görülen baģlangıç kartını aktif yaparsanız aģağıdaki gibi bir ekranla karģılaģırsınız.
yukarıda gördüğümüz programlar bilgisayar açılırken yüklenen (system.ini ve c:\windows\system dizini hariç) win.ini ve registery de bulunan dosyalardır. Bu dosyalardan herhangi birini yanındaki onay iģaretini kaldırarak çalıģmaz hale getirebilirsiniz. Çoğunlukla msconfig ile sisteminizde trojan olup olmadığını anlamak mümkün olur. Bilgisayarınızın kullandığı programları biliyorsanız. Geriye kalanlar tehlike iģaretidir. Özellikle yukarıda da görüldüğü gibi c:\windows, c:\windows\system veya c:\windows\temp dizini altındaki dosyalara dikkat edilmesi gereklidir. Start up dosyalarını kontrol etmek için bir yol daha vardır. BaĢlat ta programlar-donatılar-sistem araçları-sitembilgisi çalıģtırılırsa aģağıdakine benzer bir ekran çıkar.
buradan Yazılım Ortamı aktif hale getirilirse bizim iģimize yarayacak iki bölüm karģımıza çıkar; BaĢlangıç programları ve ÇalıĢan Görevler. BaĢlangıç programını aktif hale getirirseniz msconfig den tanıdığımız programları görürüz. Bizim için asıl önemli olan yer ÇalıĢan görevler bölümü, bu bölüm aktif yapılırsa
bilgisayarınızda çalıģan system dizini de dahil tüm programlar gösterilir. Fakat sadece seyredebilirsiniz, değiģiklik buradan mümkün değil. Dikkat edilmesi gereken sürüm, üretici ve tanım kısımları boģ olan programlardır. Yukarıda ki örnekte bu Ģartlara uyan üç program mevcut bunlardan grcframe.exe dosyası schoolbus tarafından system dizinine yerleģtirilen trojandır. Diğerleri benim kontrolümde sisteme yüklenmiģ olan www.ntvmsnbc.com <http://www.ntvmsnbc.com> haber uyarı programı ile homesite 4.0 site yapım programıdır. Fakat yine de dikkat etmek gerekir tanımadık ama sistem tarafından kullanılan programlar olabilir. Fakat Ģüphe duyulan bir program bulunduğu dizine gidilerek incelenebilir. Örneğin boyutu oluģturulma tarihi gibi kriterler bizim için önemli. Yazımızda bahsettiğimiz ve yaygın olarak kullanılan trojanların boyutları iģinize yarayabilir. Sisteminizde mevcut olan trojan adı, iconu, portu değiģtirilmiģ olabilir fakat bulunduğu yer ve boyut size bunun hangi tür trojan olduğu hakkında ip ucu verecektir. Örneğin sisteminizde trojan olduğunu zannettiğiniz bir program var. Bu program c:\windows dizini altında ve yaptığınız araģtırmalar onun hakkında pek de iyi Ģeyler söylemiyorsa, boyut ve oluģturulma tarihine bakabilirsiniz. OluĢturulma tarihi yakın ve boyutu 374 KB ise yakın zamanda sisteminize bir program yüklemediyseniz muhtemelen bir subseven trojanıdır. Çünkü subseven ın boyutu 374 KB dır. PORTLARIN KONTROLÜ: Yazımızda da belirttiğimiz gibi trojanlar açık olan portlar aracılığıyla diğer bilgisayar ile irtibat kurar. Artık neredeyse tüm yeni trojanların portlarını değiģtirmek mümkün olmaktadır. Fakat trojan kullanmayı seven arkadaģlar genellikle port ve diğer ayarlarını değiģtirmeden kullandıkları için default
olarak trojanlar tarafından kullanılan portların bilinmesinde fayda var(en azından çok kullanılan trojanların). Peki sisteminizde tehlikeli bir port un açık olduğunu nasıl anlayabiliriz. Burada yine windows imdadımıza yetiģiyor. BaĢlat-Programlar-MsDos komut istemi çalıģtırılırsa karģımıza ms-dos ortamı çıkar. Burada c:\windows>netstat -an yazıp enter a basarsanız o anda bilgisayarınızın iletiģim halinde olduğu bilgisayar ile arasındaki kullanılmakta olan portlar ve ip numaraları gösterilir. (Portları kontrol için totostat adında bir programı tavsiye ederim. Netstat ile aynı iģlemi yapıyor. Kullanımı daha pratik. Buraya <http://members.xoom.com/bayramaltun/totostat.zip> tıklayarak download edebilirsiniz.) Yukarıdaki Ģekilde yerel adres sizi, yabancı adres bağlantı kurduğunuz karģı bilgisayarı gösterir. Dikkat edersek 54321 ve 31337 numaralı portlar açık görünüyor. Bunlar kesinlikle bilgisayarda trojan olduğunun göstergesidir. 54321 schoolbus 31337 BO trojanın kullandığı default portlardır. Ayrıca aktif olan iki bağlantı var. Bunlardan ikisi de bir web sayfasına bağlı olduğumuzu gösteriyor. ġayet web sayfasına bağlanırsak karģı bilgisayarın kullandığı port olarak 80 (8080 de olabilir.), mail server a bağlanarak mailleri kontrol ediyorsak 110, ftp programı ile web sitemize dosya gönderiyorsak 21, telnet ile bağlantı kurmuģ isek 25 numaralı portlar yabancı bilgisayarın açık portları olarak görünür. Bunun haricindeki portlardan yapılan(yabancı bilgisayarın portları) bağlantılar tehlikeli olabilir. Fakat ve Chat ve proxy istisnası var. Chat programı karģı tarafın 6667, 7000 gibi portlarını açabilir. Eğer internete bir proxy üzerinden bağlanıyorsak bağlantı yapılan bilgisayarın portu 1080 olarak görünebilir(tabi ki proxy istisna bir durumdur. Çoğu kullanıcı normal bağlantı kurar.)
Bir portun açık olması bağlantı kurulduğu anlamına gelmez. Yukarıda görüldüğü gibi 54321 numaralı port açık fakat yabancı adreste bir bağlantı görünmüyor. Bu o anda bağlantı olmadığını gösterir. 54321 numaralı porta bir bağlantı olduğunu görmüģ olsaydık. Kesinlikle birisinin bilgisayara girdiğinden bahsedebilirdik. BĠLGĠSAYARINIZIN KULLANDIĞI PORTLAR: Port.zip <port.zip> dosyasını alarak öğrenebilirsiniz.(dosyanın ismi üstüne tıklarsanız kopyalanmaya baģlar. Dosya çok uzun olduğu için yazılmadı.) TROJANLARIN KULLANDIĞI PORTLAR: AĢağıda gösterilen port numaraları server dosyasının ayarları değiģtirilmediği sürece doğrudur. TROJAN ĠSMĠ icqtrojana 4950 girlfriend 21554 KULLANDIĞI PORT bo 31337 ftp99cmp 1492 master paradise 40421 fire hotker 5321 sockets de troje 30303 executor 80 gate crasher 6969 hackers paradise 456 hack99 keyloger 12223 netspy 31339 net monitor 7300 subseven 1243-27374 invasor 2140 Wincrach 1.03 5742 Wincrach 2.0 2583 Silencer 1001 Devil 65000 Millenium 20001 Phineas 2801 Backdoor 1999 Evilftp 23456 Phasezero 555 Psyber Streaming 1509 Server SSTROJG 11000 Voice Client 1514 Netbus 12345-20034 Schoolbus 54321 MAĠL BOMBALARI: Ġnternet ortamında mail hesabının olması olmazsa olmaz Ģartlardan birisi. Ne varki insanların rahatı onları rahatsız eden kötü niyetli kiģiler tarafından yazılan mail bomber lar ile mail hesabınız iģleyemez hale gelebilir. Sahip
oldukları bir mail bomber programı ile istediği mail hesabına sayısı oldukça yüksek mail gönderebilirler. Mail göndermenin ne zararı olabilir diyebilirsiniz. Fakat mail hesapları belli bir kapasiteyle sınırlıdır. Mesela 5 Mb kapasiteye sahip mail hesabınıza her biri 20 Kb lık 300 e-mail gönderilmesi durumunda hesabınız çalıģamaz durumu gelecek ve size gelen mailler yerine ulaģamayacaktır. Bu operasyonun zarar vermek isteyen kiģiye kaybettirdiği zaman ise sadece yarım saattir. O yarım saat sörf yaparken aynı zamanda program size mailleri gönderecektir. NÜKELER: Windows iģletim sistemi (özellikle Win 95) aslında sanıldığı kadar kusursuz değildir. ĠĢte nuke diye bilinen programlar iģletim sisteminizin bu açıklarını iyi bilen ve sürekli yeni açıklar bulmaya çalıģan programcılar tarafından yazılan programlardır. ÇeĢitleri bir hayli fazladır. Özellikle win 95 iģletim sistemini tehdit ederler. Mavi ekran hataları sonrası sisteminizin yeniden baģlatılması, hattınızın kopması(ģu an çok popüler olan ve modem resetleyici diye bilinen nuke çeģitlerine karģı ise korunma neredeyse imkansız) ya da internette sörf hızınızın yavaģlamasına sebep olan değiģik bir çok çeģidi vardır. Hatta çoğu kullanıcı sürekli hattan düģtüğünü ve bunun nedeninin internet servis sağlayıcısı olduğunu zanneder. Gerçekte iģler biraz farklıdır. Bunu anlamanın en kolay yolu ise firewall(aģağıda anlatılacak) diye bilinen programlardan birinin sisteminize kurularak saldırılara Ģahit olmanızdır. Hatta iģin boyutları o kadar büyümüģtür ki. Nuke programları temin eden sitelerden bazıları iģin çığırından çıktığını fark ederek bu iģi yapmaktan vazgeçmiģ, hatta koruma yollarını anlatmaya baģlamıģlardır. Bilgisayar kullanıcılarının büyük bir çoğunluğu internette güvenlik meselesinin halâ lüks olduğunu zannetmektedirler. Hedef kitle ise bu çoğunluktur. AĢağıda anlatılacak tekniklerin uygulanmasıyla internette rahatça sörf yapabilecek yapılan saldırıları çoğunlukla emin olarak tebessüm ederek seyredeksiniz. Nukelerden yüzde yüz korunmanın bir yolu yoktur. Fakat güvenlik için uygulanacak teknikler sayesinde büyük çoğunluğu bertaraf edebilirsiniz. Hatta nuke atanların çoğu iģin teknik detayını bilmeden ellerindeki nuke programını kullanan liseli öğrencilerdir. VĠRÜS: Virüsler bilgisayarınızda sizin isteğiniz dıģında çalıģarak zarar veren programlardır. Ġnternet dünyasının geliģmesiyle yayılma hızları da bir hayli artmıģtır. Boot sektöre bulaģarak orada yaģayanlardan, programlara kendini enjekte edenlere, FAT da bozuk sektör göstererek hard diskinizde kendine yer sağlayanlara kadar bir çok çeģidi vardır. BulaĢma yolları ise aynıdır. Virüs bulaģtırılmıģ herhangi bir disketi okumanız veya yine virüslü bir programı çalıģtırmanız durumunda kendisinin önceden belirlediği saklanma stratejisine göre(az önce bir kaçını sıralamıģtık.) bilgisayarınıza bulaģarak aktif hale geçebilir.( Sisteminizde kurulu bir virüs tarama programınız var ise bulaģma anında anti virüs yazılımınız aktif hale geçerek sizi uyarır.) Aktif hale geçen virüs programı ise geliģen Ģartlara göre sisteminize zarar verebilir. GeliĢen Ģartlar diyorum çünkü, Dos 6.22 li iģletim sistemlerinin kullanıldığı zamanlarda kullanılan zarar verme teknikleriyle Ģu an kullanılan teknikler sayıca biribirinden farklıdır. Mesela modemlerin yaygın olduğu günümüzde modeminizi kullanarak milletler arası arama yapan ve yüklü