BİLGİ SİSTEMLERİ GÜVENLİĞİ Maltepe Üniversitesi p Bilgisayar Mühendisliği Bölümü
2 BÖLÜM -8- BİLGİSAYAR VİRÜSLERİ
3 1.Virüs Nedir? Virüs terimi,tıp it kaynaklarından kl alınmıştır. Normalde cansız oldukları halde, Herhangi bir hücre içine girdikleri anda üreyip, hücrenin fonksiyonlarını ele geçirebilen moleküllerdir.
4 2.Bilgisayar Virüsleri Bilgisayarlarıni l bilgidenid dh daha hızlı yayılması nedeniyle, Virüs kavramı deforme olmuş; Bazı sistem sorumluları anlayamadıkları şeylere virüs diyerek işin içinden sıyrılmayı tercih etmiştir.
5 2.Bilgisayar Virüsleri Virüs; Kendini çoğaltabilen, istem dışı çalışan, Kendini gizleyebilen Kodlara verilen genel isimdir.
6 3. Virüslerin Zararları Dosya sistemlerini it iisilebilirler l (format) Programları bozabilirler. Dosyaları silebilirler. Nadiren donanıma zarar verirler. Örneğin FLASH BIOS ları silebilirler. Çok eski monitörlerde V+H sinyalleri ile HV Çıkışlarını yakabilmektedirler.
7 3. Virüslerin Zararları Son dönemded yaygınlaşan solucanların l tipik zararları, ağ trafiğini artırmak, Server ları gereksiz meşgul etmek ve en önemlisi bilgileri bilinmeyen makinelere yollamaktır.
8 3. Virüslerin Zararları Diğer başlıca zararları; Ticari sırların ele geçmesi tehlikesi İş gücü kaybı Temizleme ve korunma maliyetleri Prestij kaybı Global ekonomiye verilen milyarlarca dolarlık zarar.
9 4. Virüs Türleri Bulaşma bölgesine göre virüsler Boot virüsleri - Disklerin boot sektörleri ve MBR kayıtlarına bulaşır. Dosya virüsleri - Çalıştırılabilir dosyalar, binary dosyaların kodları içerisine ve kütüphane dosyalarına bulaşmaktadır. Makro/Script virüsleri - Excel, word, javascript v.b. Karışık virüsler -Aynı anda birden çok yere bulaşabilen ş virüsler Solucanlar - Herhangi bir yere bulaşmadan kendibaşına yaşayabilen virüslerdir.
10 5. Virüs Nasıl Tespit Edilir? Genelde verilecek cevap, yanlış olandır: İstatistik olarak, virüsler ilk ortaya çıktıkları dönemde tahribatlarını yaparlar. Sebebi ise güvendiğiniz programın henüz o virüsü TANIYAMAMASIDIR.
11 5. Virüs Nasıl Tespit Edilir? Yapılması Gerekenler Sistemdeki virüsten etkilenebilecek noktaları gözetim altında tutmak. Ağ üzerindeki anlaşılamayan hareketleri iyi yorumlamak Virüslerin sisteme olası etkilerini değerlendirmek Virüsler ile ilgili literatürü iyi takip etmek
12 Neler Etkilenebilir? Teorik olarak, çalışabilir kod içeren, yazılabilir tüm sistem bileşenleril i
13 Neler Etkilenebilir? Disklerin i boot sektörleri ve MBR bölümleri l
14 BOOT virüsü, ü OS un üzerine yazılmaması için ii bu belleğin bllği tepesine yerleşir. Bu tür virüslerin (boot sektör virüslerinin) aranması gereken yer orasıdır.
15 Kurtulmak kiçin i (Windows) A:\>fdisk /mbr A:\>C:\WINDOWS\COMMAND\ATTRIB -H -S -R C:\MSDOS.SYS A:\>COPY C:\MSDOS.SYS C:\MSDOS.OLD A:\>sys c: A:\>C:\WINDOWS\COMMAND\ATTRIB \WINDOWS\COMMAND\ATTRIB -H -S -R C:\MSDOS.SYS SYS A:\>COPY C:\MSDOS.OLD C:\MSDOS.SYS
16 Kurtulmak için i (Linux, sadece MBR) [root@dns /root]# lilo Added linux Added linux-nonfb * Added failsafe Added windows Added floppy [root@dns /root]#
17 Bir solucan, sadece çalıştırıldığı ld ğ zaman etkili olabilir. Kurtulabilmek için; WINDOWS için gerekli startup dosyaları SystemRegistry HKLM\Software\Microsoft\Windows\CurrentVersion Run RunOnce RunOnceEx RunServices RunServicesOnce
18
19 Normal lkullanıcılar l için; i Solucanı başlatan yeri bulup, düzeltin. Güvenli kipte çalışmayı tercih edin. Mümkünse DOS ile çalışın. Düzenlemeyi yaptıktan sonra, RESET ile sistemi yeniden başlatın. ş Solucan kodunu silin.
20 Gereksiz program yüklemekten kt kaçınmak. k Kopya yazılım kullanmamak. Sistem aktivitelerini takip etmek. Virüs temizleyicilere güvenmemeyi öğrenmek. Bunların sürekli güncellenmesi gerektiğini ğ kavramak
21 Gereksiz program yüklemekten kt kaçınmak. k Kopya yazılım kullanmamak. Sistem aktivitelerini takip etmek. Virüs temizleyicilere güvenmemeyi öğrenmek. Bunların sürekli güncellenmesi gerektiğini ğ kavramak Windows Scripting Hostu kaldırın.. REN C:\WINDOWS\WSCRIPT.EXE WSCRIPT.EX
22 IRC için i yamanmış scriptleri i kullanmayın. İçeriğini bilmediğiniz ekleri kesinlikle açmayın. Makro korumasını etkin halde tutun. ROOT olarak sadece sistem yönetimi yapılır. Normal işlevler için sıradan kullanıcı olarak çalışın. ş Sistem bütünlüğünü kontrol eden uygulamalardan çekinmeyin.
23 Sistem Yöneticileri il i İçin; i Mutlaka bir proxy server kullanın. - HTTP ve FTP Proxy, web üzerinden gelebilecek zararlı içeriği filtrelemenizi sağlar. - SOCKS gibi soket bazlı proxylerden kaçının. Mail Servisinize mutlaka bir AntiVirüs Plug ini ekleyin. - Sendmail ve Qmail için çeşitli scannerler. http://www.amavis.org - Procmail kullanarak.exe,.pif,.vbs gibi dosyaları durdurun.
24 Linux Firewall Kullanarak content-filtering. t i - ipchains ve iptables, paketin başlık bilgileriyle çalışırlar. Fakat iptables, yapılacak küçük bir yamayla kolayca stringleri yakalayıp bloke edebilir. # iptables -I INPUT -p tcp --dport 80 \ -m string --string.ida -m state --state ESTABLISHED \ -j REJECT --reject-with ihtcp-reset
25 LINUX ların esnek yapısı, dosyaları ve dizinlerinizi i i i i mutlak korumaya alabilir. -Kernel kodunuzu... (/boot) -Konfigürasyon dosyalarını (/etc) -Çalışabilir ş dosyaları (/usr/local/bin, /bin, /sbin...) Farklı bir harddisk üzerinde tutun ve bu harddiski Read-Only olarak kullanın. #hdparm -r 1 /dev/hdc
26 Ayrıca; Hangi dosyaların çalışacağını Dosyaları gizlemeyi Süreçleri düzenleyin.