Wardom.Org
BİLGİSAYAR GÜVENLİĞİ
Yusuf ALTUN
(Önemli not: Aşağıda anlatılan teknikler sistem yapılandırmanızla
doğrudan ilişkili olduğu için ileri seviye bilgisayar kullanıcıları
dışındakilere tavsiye edilmez. Çünkü anlatılanlar haricine çıkılarak yapılacak
bir hata sisteminizin yapılandırmasını bozacağı için tehlikelidir.)
İnternet
üzerinden iletişim artık vazgeçilmez bir olay haline gelmiştir. Gelecek
yıllarda tüm bilgisayarların bu devasa ağa bağlanabileceği hesaba katılırsa
insanların henüz tam olarak tanıyamadıkları internet, artıları ve eksileriyle
bizleri beklemektedir. Artıları elbette tartışılamayacak kadar fazladır fakat
insanların fazla bilmedikleri eksileri ise neredeyse artıları kadar fazladır.
Siz bilgisayarınızın başında oturarak internetin nimetlerinden faydalanırken,
başka bir kullanıcı sizin bilgisayarınıza internet üzerinden girerek tahmin
dahi edemeyeceğiniz zararlar verebilir. Mesela bilgisayarınızın hard diskini
formatlayabilir, En tehlikeli virüsleri size bulaştırarak sisteminizin zarar
görmesine sebep olabilir. Gizli zannettiğiniz şifrelerinizi alabilirler.
Bunlardan daha tehlikelisi ise sizin bilgisayarınızı ya da internet giriş
şifrelerinizi kullanarak suç işleyebilir ve sorumlu olarak siz aranabilirsiniz.
Mesela Bursa da bir öğrenci interpol tarafından suç
işlediği için Türk yetkililerine bildirilerek yakalanmıştır. Öğrencimizin
suçsuz olduğu daha sonradan anlaşılmıştır. Aslında öğrencimiz sade bir internet
kullanıcısıdır ve bilgisayarını kullanan kişilerin saldırısına uğramıştır. Örneklerin
sayısı her geçen gün artmaktadır.
Güvenlik
konusuna geçmeden önce bilgisayarın işleyişi ile ilgili temel birkaç bilginin
verilmesi gerekiyor. Ağ (Network) birden fazla bilgisayarın birbirlerine
bağlanarak bilgilerin paylaşımı esasıyla çalışır. Ağ daki
her bilgisayarın bir ismi vardır ve bir bilgisayardan çıkarak diğerine giden
bilgi alıcı ve gönderici bilgisayar bilgilerini kullanarak yerine ulaşır. İşte
bu sırada alıcı gibi davranabilen bir bilgisayar sizin bilgilerinize
ulaşabilir. İnternet de aslında büyük bir ağdır. İnternational
Network (uluslar arası ağ)kelimelerinin kısaltılmasıyla ortaya çıkmıştır.
İnternet ortamında her bilgisayarın İP olarak isimlendirilen bir adresi vardır.
Her
İP adresi ***.***.***.*** formatındadır. Örneğin superonline
kullanıcısı olan bir bilgisayarın İP si 212.252.145.218 şeklinde olabilir. Kulanıcıların İP adresleri internete her bağlantı
kurulduğunda değişir(Şayet statik İP tercihi yapmamış iseniz.). Fakat hangi
saat ve tarihte, hangi telefon ve İP numarası ile nereye bağlanıldığı gibi
bilgiler İSS(İnternet servis sağlayıcısı) tarafından dosyalandığı için yapılan
bir suçun tesbitide kolaylaşmaktadır. Bilgisayarların
internet üzerinde nasıl tanındığını çok basit bir şekilde anlattıktan sonra
bilgisayarların internete bağlanırken nasıl çalıştığı üzerine de birkaç şey
söylemek gerekir. Bilgisayarlarda bulunan veriler internete giderken veya aynı
şekilde bilgiler size gelirken sanal kapılar olarak kabul edilen portlardan geçerler (Bazı bilgiler hariç). Portları bilgisayara giriş kapıları olarak ta
düşünebiliriz. İşte sizin internetteki en önemli güvenlik noktanız bu portlardır. Şayet portlarınız
açık ise başka bir kulanıcı bilgisayarınıza girerek,
sizin bilgisayarınızda yapabileceğiniz herşeyi
yapabilir. Bu noktada bilgisayarı korumanın en iyi yolunun portları
kontrol etmekten geçtiği elbette anlaşılmıştır. (isteyen kullanıcılar için
meselenin teknik detayını içeren dosyaları gönderebilirim). Temel bilgileri
verdikten sonra bilgisayarınıza yapılabilecek saldırılar ve bunları önlemenin
yolları üzerine yazıya devam edebiliriz.
TROJANLAR
Trojanlar aslında sizin bilgisayarınızın başka bir bilgisayar
tarafından ağ üzerinden kontrol edilmesine yarayan programlardır.
Bilgisayarınızın portlarından herhangi birisini
açarak diğer kullanıcıların bilgisayarınıza girmesini sağlarlar. Server ve Client dosyalarından oluşur. Server portları
açarak bilgisayarınızı hedef haline getirirken, Client
ise bilgisayarınıza girilmesini sağlar. Örneğin bir kullanıcıya trojan bulaştırarak bilgisayarına girelim. İcq da hedef seçtiğimiz(vaya chat te) kurbanımıza elimizde
bulunan Server programını herhangi bir şekilde gönderiyoruz. Güzel bir program
kullan vazgeçemeyeceksin diyebileceğimiz gibi, içinde mükemmel bir resim arşivi
var istersen bir bak diyerek te kurbanın Server
programını almasını ve çalıştırmasını sağlayabiliriz. (Aslında trojanlar başka programlara entegre
edilerekte karşı tarafa bulaştırılabilirler(Truva
atı). Mesela kurbanımıza çok popüler İcq programını trojan ile birleştirilmiş halde verebilirsiniz. Bu durumda
kurban İcq yu
çalıştırdığında normalde farklı hiçbir şey fark etmeyecektir.)
Kurbanımız gönderdiğimiz Server programını çalıştırınca trojanı
bilgisayarına bulaştırmış olacaktır. Bu aşamadan sonra kurbanımızın İP sini
alarak bilgisayarına girmek kalıyor. Bizdeki Client
programını çalıştırdığımızda bizden bir İP numarası isteyecek. Oraya bulduğumuz
kurbanımıza ait İP yi yazarak Connect tuşuna
bastığımızda kurbanımızın bilgisayarına bağlanmış oluyoruz. Artık gerisi size
kalmış, ister format atın, ister internet giriş şifrelerini çalın.(Meseleyi anlatırken teknik detaya girerek insanların
dergimiz aracılığıyla bu işi öğrenmelerini istemedik. Verilen bilgiler sadece
korunma amaçlıdır.) Kurbanımızda varolan
trojan silinmediği sürece varlığını devam
ettirecektir. Bugün benim girebildiğim bu bilgisayara yarın başka birisi
girerek istediğini yapabilir. İnternet ortamında trojan
yediği halde haberi olmayan bir çok insan vardır. Port Scanner diye bilinen
programlarla bu insanları tesbit ederek, sahip olduğu
trojana göre kullanacağımız bir Client
programı sayesinde bu bilgisayarlara da girebiliriz. Port
Scanner programıyla kontrol etmeniz durumunda
internette 10 dakika içinde Netbus 2.0
(20034 numaralı portu kullanır.) trojanını
yiyen en az 5 kişi bulabilirsiniz. Norton veya Mcaffe
tarafından tanınmayan trojan sayısı çok sınırlı
olduğu için bu anti virüs yazılımlarından birini yüklemeniz durumunda trojanların ekserisinden korunmuş olursunuz. (kendi
bilgisayarımda denemediğim trojan kalmadı Norton 5.0 anti virüs programı trojanları
yakalama konusunda harika. Fakat schoolbus isimli trojanı bulamıyor. Aşağıda bu trojanın
nasıl temizleneceği anlatılıyor.) . Aslında çoğu trojan internet üzerinde sörf yaparken birisi sizin
bilgisayarınıza girmediği sürece zararsızdır. İnternette iken bilgisayarınızda
bir trojan olup olmadığını anlamanın çok kolay bir
yolu vardır. Ayrıca bir trojan varsa bile,
bilgisayarınızın içindeki bu casusun kimlere bilgisayarınızın kapılarını
açtığını da öğrenebiliriz. Dos ortamında netstat -an komutunu yazarak enter
tuşuna basarsanız bilgisayarınızın internet ortamındaki tüm bağlantılarını
görebilir ve anormal bir durum olup olmadığını kontrol edebilirsiniz. Eskiden herbir trojanın kullandığı port numarası farklı idi. Örneğin netbus
ın ilk versiyonu 12345
numaralı portu kullanırken Bo
trojanı 31337 numaralı portu
kullanıyordu. Şimdilerde ise her bir trojan
kullanıcının(trojanı size bulaştırmak isteyen kişi)
isteğine göre değişebilen portları açabiliyor. Bu
nedenle trojanların kullandığı portlarda
bir anormallik gözünüze çarpmasa bile bu bilgisayarınızda trojan
yoktur anlamına gelmez. Peki trojanlar
bilgisayarımıza nasıl bulaşırlar. Chat te veya İcq da muhabbet ederken size gönderilen herhangi bir
resim(aslında çalışabilir bir program olup resim iconu
yerleştirilmiştir) ve dosya trojan taşıyor olabilir.
Sizin o dosyayı açmanızla birlikte bilgisayarınıza da trojan
bulaşacaktır. Korunmanın en iyi yolu dosya almamak. Hatta
dosyayı aldığınız kişi tanıdık bile olsa dosya almamak. Çünkü o da gönderdiği
programda trojan olduğunu bilmiyor olabilir. Aşağıda
bilgisayarınızın kullandığı portların numaraları
vardır. Bu port numaraları haricinde bir bağlantınız
var ise muhtemelen bir trojandır. Fakat İcq programı çalışıyor veya Chat te
muhabbet halinde iseniz. Normal harici kullanılan portlar
olacaktır. Bu portları Chat programınız veya İcq programınzı açmış olabilir.
Aşağıda en çok kullanılan trojanlar ve kontrol
ettikleri portlar verilmiştir. Gerisi size kalmış.
(Aşağıda trojanlara
yönelik verilen bilgiler ve savunma yöntemleri server
dosyasının ayarları değiştirilmediği takdirde geçerlidir. Fakat Çoğunlukla
ayarlar değiştirilmeden kullanılır)
SUBSEVEN:
Adı: ratgele
seçilmiş bir isim. (uyfghj.exe gibi)
Boyutu: 374 KB
Yerleştiği yer: Çalıştırıldığı dizin
Start up yöntemi: Win.ini
dosyasına ekleme yaparak
En belirgin özelliği: Çok zengin kullanım seçenekleri
sunması.
Özellikleri:
En
yaygın trojandır. Kullanım kolaylığı ve bağlantı
anında sağladığı gelişmiş özellikleriyle tercih sebebidir. Bağlanılan bilgisayarın
registery ayarları, şifreleri, icq
ve mail hesapları kolayca kullanılabilir. File manager
ile karşı bilgisayarın dosyalarına erişebilir, key logger ile hedef bilgisayarda klavye aracılığıyla yazılan herşeyi görebilir, screen capture özelliği ile hedef bilgisayarın anlık ekran
görüntüsüne mous ile müdahele
edebilirsiniz. Kısacası son derece gelişmiş ve profesyonelce hazırlanmış bir remote control aracıdır subseven(daha bir çok özelliği de vardır.). Edir server ile server programı
kullanıcı tarafından ayarlanabilir. Yani kullanılan port,
start up metodu ve server
dosyasının iconu değiştirilebilir. Bu şekilde
bulunması da zorlaşmaktadır. Fakat çoğu kullanıcı subseven
ı default ayarlarıyla kullanmaktadır. Aslında bu da
bizim için bir avantajdır. Bu ayarlar bilindiği için bulunması da kolay olur.
Subseven sadece hedef bilgisayara zarar vermeyi amaçlayan
bir trojan da değildir. Aynı zamanda bu trojanı başkalarına bağlanmak için kullanan kişinin de
bilgisayarında ki özel bilgileri internetten başkalarına göndermektedir(Sisteminize
bir firewall programı kurarak sadece subseven client programını çalıştırmanız durumunda 20-30 dk sonra }-xæØ gibi anlamsız isimlere sahip bir dosya aracılığıyla
bilgileriniz internette ilgili kişiye gönderilir. Muhtemelen subseven ı yapan şahsa. ).Ayrıca yine client
programının çok kullanımı sonrasında sistem ayarlarınız değişebilmekte,
programlarınız çalışmayı durdurabilmektedir.
Default olarak(yani edit server ile değiştirilmemişse) 27374 numaralı port u kullanır. Start up metodu
olarak kendini win.ini dosyasına Windows altına "run=
dosya ismi" ekler. Dosya ismi rastgele seçilmiş
bir isimdir. Bu satır sayesinde bilgisayarın her açılışında kendini yükleyerek
27374 numaralı port u açık hale getirerek bekler. Port ları açmak için kullanılan
bu dosya c:\windows altında bulunur.
Temizlenmesi:
Öncelikle
subseven ın kullandığı
yardımcı server programını bulmalıyız. Biraz önce
start up yöntemi olarak win.ini dosyasını
kullandığını söylemiştik. Başlat tan çalıştır a gelerek win.ini yazıp enter a basın. Karşınıza win.ini dosyasının içeriği
gelecek. Burada
[windows]
NullPort=None
Options=85663
device=TRIO DATAFAX,DATAFAX,WINSERVE:
run=nyuw.exe
[Desktop]
TileWallpaper=0
WallpaperStyle=0
Pattern=(None)
Wallpaper=C:\WINDOWS\WEBSHOTS.BMP
.........
gibi satırlar karşınıza çıkmış olmalı. Windows altında run=nyuw.exe trojanımızın server
programının ismi. Yani bilgisayar açıldığında bu program 27374 numaralı port umuzu açıyor. Şimdi "run=nyuw.exe" satırını silelim win.ini dosyasından saklayarak çıkalım. (fakat
bahsettiğimiz bu server programı her makinede
farklıdır. Yani rastgele seçilmiştir. Sizin
bilgisayarınızda run= dan
sonra başka bir isim yazıyor olmalı.) Burada dikkat etmemiz gereken server programımızın ismi. Bu ismi bir yere kaydederek. İşlemimize
devam edelim. Buraya kadar yaptıklarımızla artık bilgisayar açıldığında portlarımızı açan programın çalışmasını önlemiş olduk.
Fakat server programı her açılışta çalışmasa bile hala
bilgisayarımız içinde(aslında buraya kadarki işlemlerle trojandan
kurtulmuş olduk. Yani artık zararsız.). Başlat tan
bilgisayarı kapat ı seçin ve çıkan ekranda ms-dos kipinde başlat seçeneğini aktif yaparak tamam tuşuna
basın. Bilgisayarınız ms-dos
kipinde açılacak. Karşınıza
c:\windows> işareti gelecek.
c:\windows>del
nyuw.exe
yukarıdaki
satırı yazıp enter tuşuna basınca artık server
programı bilgisayarınızdan silinmiş olacak.(tabi ki siz nyuw.exe
yerine win.ini de görüp kaydettiğiniz dosya ismini
yazacaksınız.)
SCHOOLBUS:
Adı: grcframe.exe(hidden
olarak bulunur), runonce.exe
Boyutu: 321 KB
Yerleştiği yer: c:\windows\system
Start up yöntemi: System
dizinine yerleştiği için açılışta sisteme yüklenir.
En belirgin özelliği: Önceden norton ve mcafee
tarafından bulunamıyordu. Fakat bu virüs tarama programlarının yeni sürümleri schoolbus ı buluyor.
Özellikleri:
Son
zamanlarda özellikle Türkiye de oldukça yaygınlaşan bir trojandır.
Bir Türk tarafından yapılmış olması ve norton tarafından bulunamaması en önemli
yaygınlaşma sebebidir. Bağlantı yapıldıktan sonra bir çok
kullanım seçeneği sunar(fakat subseven kadar zengin
seçenekleri yoktur). Bu sayede karşı tarafın şifreleri, icq
hesabı, dosyaları kontrol edilebilir. Edit server programı ile server dosyası istenildiği şekilde
ayarlanabilir. Kullanılan port ve server
dosyasının icon u değiştirilebilir. Bu trojan bilgisayarınızın 54321 ve 4****(değişiyor sürekli)
numaralı portlarını açar. Elbette bu portların açık olması için bilgisayarınızda sürekli çalışır
halde bir programın mevcut olması gerekli. Bu program c:\windows\system\
dizinindeki grcframe.exe isimli programdır.
Schoolbus sadece bulaştırılmış kişiye zarar vermez. Aynı
zamanda bu trojanı kötü amaçlar için kullanan
kişilerin şifrelerini de trojanı yapan kişinin mail
hesabına gönderir. Kısacası kullanan da bulaştırılan da zarar görür.
Ayrıca
trojanımız c:\windows\system dizinindeki runonce.exe isimli bir backdoor
virüsünü de bilgisayarınıza bulaştırıyor. İşte bu programların silinmesiyle trojanımız da etkisiz hale geliyor. Fakat windows ortamında bu programları silmenin imkânı olmadığı
için dos ortamına geçmeliyiz.
Temizlenmesi:
Bilgisayarı
kapat bölümünde Ms-dos
kipinde başlat seçeneğini işaretleyerek bilgisayarı kapatın. Ekrana çıkan dos ekranında sırasıyla aşağıda söylenenleri yapın
C:\windows>
cd system
C:\windows\system>attrib
-h -r grcframe.exe (aradaki boşluklara dikkat
ediniz)
C:\windows\system>del
grcframe.exe
C:\windows\system>del
runonce.exe
Trojandan bu şekilde kurtulmuş olursunuz. Sisteminizi yeniden
başlatın.
BO (BACK ORİFİCE)(BO2K 2000):
Adı: bo2k.exe
Boyutu: 112 KB
Yerleştiği yer: Çalıştırıldığı dizin.
Start up yöntemi: TCP/IP
yapılandırmasında kullanılan bir dosyaya enfekte
olarak sisteme bu sürücünün çalıştırılmasıyla yüklenir.
En önemli özelliği: Sistemde bir sürücüye enfekte
olarak çalışır. Dolayısıyla bulunması zordur.
Özellikleri:
Yaygın olarak kullanılan trojanlardan
birisidir. En önemli özelliği kendisini TCP yapılandırmasında kullanılan
sürücülerden birine enfekte ederek görülemez hale
getirmektir. Bu sebeple bu yazıda bahsedilen start up yöntemlerinin hiç birisiyle tesbit
edilemez. Çünkü kendisi direkt olarak çalışıyor görünmez. Bilgisayarın
kullanmak zorunda olduğu sürücülerden birisine kendisini yerleştirir ve o
sürücü sisteme yüklenince otomatik olarak sisteme yerleşir; .com ve .exe virüslerinin mantığına
sahip. Bu pek de bilinmeyen özelliği dışında, kurbana gönderilen server programı istenildiği gibi ayarlanabiliyor(port, dosya adı değişebiliyor). Bağlantı kurulan makiye
yönelik çok zengin bir kullanım seçeneği mevcut. Default
olarak 31337 numaralı (ya da 54321) portu kullanır.
server programının ismi bo2k.exe(config
programı ile bu isim değiştirilebilir), boyutu 112 KB dır.
Bu dosya herhangi özel bir dizine kendisini kopyalamaz. Çalıştırıldığı dizin
içerisinde kalır. Zaten çalıştırıldıktan sonra silmeye kalkarsanız windows tarafından kullanıldığı için silinemez mesajını
alırsınız.
Temizlenmesi:
Diğer trojanlar gibi sistemde direkt
çalışmadığı için temizlenmesi için de farklı bir yöntem takip edilir. Kendisini
TCP yapılandırmasında kullanılan sürücülere enfekte
ederek sisteme yüklediği için, bozulmuş olan bu sürücülerin yenilenmesi ile
sistemde çalışamaz hale gelir. Bunun için de o an mevcut olan TCP
yapılandırmasının kaldırılarak sisteme yeniden kurulması gerekir. Bunun için
başlat-ayarlar-denetim masasına gelmeliyiz. Burada Ağ adıyla belirtilen icona tıkladığımızda karşımıza ağ yapılandırmamız gelecek.
Burada
TCP/IP ile gösterilen seçeneği işaretleyerek kaldır butonuna basarsak TCP/IP
yapılandırmamızı kaldırmış oluruz.
Buradan
Tamam butonuna basarak çıkıyoruz. Bize bilgisayarı yeniden başlatma ile ilgili
bir ekran çıkacak tamam diyerek bilgisayarı yeniden başlatın.
Bilgisayarınız
yeniden başladığında biraz önce kaldırdığımız TCP/IP yapılandırmasını tekrar
kuracağız. Bunun için başlat-ayarlar-denetim masası buradan ağa tıkladığımızda
karşımıza çıkan ekranda ekle butonuna basıyoruz. Buradan çıkan menüden iletişim
kurallarını tıkladığımızda çıkan ekranda sol tarafta microsoft
seçili iken sağ tarafta TCP/IP yi seçerek tamam larla
menülerden çıkıyoruz.
Artık
TCP/IP tekrar kurulmuş oldu. Son olarak bilgisayarı tekrar kapatıp açtığımızda
TCP/IP yüklenmiş ve BO trojanından kurtulmuş
oluruz.(Tabi bu işlemler sırasında gerekli dosyaları kopyalayabilmek için
sizden win98 cd si istenebilir.)
START UP (BAŞLANGIÇ) PROGRAMLARI:
Bilgisayarımız
açılırken bazı programlar sistem ihtiyaçlarından bazılarıda
kullanıcı ihtiyaçlarından dolayı otomatik olarak çalıştırılırlar. Örneğin bir
virüs tarama programınız varsa başlangıçta bu program otomatik olarak
sisteminize yüklenir. Başlangıç programlarının çalışma sistemini kavrayabilmek
ve onları kontrol edebilmek trojanları ortadan
kaldırmada en etkili yöntemdir. Start up dosyaları
bilgisayarınız açılırken çeşitli yollarla kendisini sisteme yükler.
1) Win.ini
Başlat
a gelerek çalıştırda win.ini yazıp enter a basarsanız aşağıdaki gibi bir metinle
karşılaşırsınız.
[windows]
NullPort=None
Options=85663
load=
device=TRIO DATAFAX,DATAFAX,WINSERVE:
run=
[Desktop]
TileWallpaper=0
WallpaperStyle=0
Pattern=(None)
Wallpaper=C:\WINDOWS\WEBSHOTS.BMP
[intl]
iCountry=90
ICurrDigits=2
iCurrency=3
iDate=1
iDigits=2
iLZero=1
iMeasure=0
iNegCurr=8
iTime=1
iTLZero=1
s1159=
s2359=
sCountry=Turkey
sCurrency=TL
sDate=.
sDecimal=,
sLanguage=trk
sList=;
sLongDate=dd MMMM yyyy dddd
sShortDate=dd.MM.yyyy
sThousand=.
sTime=:
..................
...............
yukarıdaki [windows] başlığı
altındaki "load= " ve "run= "ifadelerinden sonra gelecek olan dosya ismi
bilgisayarınız tarafından açılışta otomatik olarak sisteminize yüklenir.
Bilgisayarınız için gerekli bazı dosyalarda burada bulunarak başlangıçta
çalıştırılabilir. Fakat aynı yeri bir trojan da
kullanabilir. Bu durumda hangi dosyanın trojan
hangisinin normal bir dosya olduğunu ayırt etmek sizin elinizde. Trojan olduğunu tahmin ettiğiniz dosya ismini silerseniz trojanın açılışta çalışmasını önlemiş olursunuz. Ama trojan hala bilgisayarınızdadır. Sadece çalışması
engellenmiştir.
2) System.ini
Başlat a gelerek çalıştır da system.ini yazıp enter a basarsanız
karşınıza aşağıdaki gibi bir dosya çıkar.
[boot]
oemfonts.fon=vgaoem.fon
system.drv=system.drv
drivers=mmsystem.dll ctpnpscn.drv
power.drv
shell=Explorer.exe
gdi.exe=gdi.exe
sound.drv=mmsound.drv
dibeng.drv=dibeng.dll
comm.drv=comm.drv
mouse.drv=mouse.drv
keyboard.drv=keyboard.drv
*DisplayFallback=0
fonts.fon=vgasys.fon
fixedfon.fon=vgafix.fon
386Grabber=vgafull.3gr
display.drv=pnpdrvr.drv
scrnsave.exe=
user.exe=user.exe
[keyboard]
keyboard.dll=
oemansi.bin=xlat857.bin
subtype=
type=4
[boot.description]
system.drv=Standart PC
keyboard.typ=Standart
101/102-Tuşlu veya Microsoft Natural Klavye
aspect=100,96,96
mouse.drv=Standart fare
display.drv=3D Artist PA50
.........................
.........................
yukarıdaki
satırlar arasında yer alan(üstten 4. sırada) shell=Explorer.exe satırına dikkat
etmeniz gerekir. Bu satır da yazan dosya isimleri bilgisayarınız açılırken
sisteme yüklenir (bu dosyanın trojan veya normal bir
program olup olmadığını ayıretmek sizin elinizde). örneğin:
shell=Explorer.exe Winlog.exe
şeklindeki bir satır tehlike işaretidir. Explorer.exe ve winlog.exe açılışta sisteminize yüklenmektedir. Explorer.exe sisteminizin kullandığı bir program olduğu
biliniyor. Öyleyse winlog.exe muhtemelen bir trojandır. Bu satırda winlog.exe dosya ismini silerseniz
shell=Explorer.exe
şeklinde değişir satırımız. Artık açılışta bu program
çalıştırılmayacak dolayısıyla portlarınız
açılmayacaktır. Fakat bu ismi silmekle trojanı silmiş
olmayız sadece çalıştırılmasını önlemiş olduk.
3) C:\WIDOWS\SYSTEM dizini
c:\windows\system dizini altında bilgisayarınızın kullanmış olduğu donanım
sürücüleri ve daha pek program açılışta bilgisayarınız tarafından sisteme
yüklenir. Bu dizini yerleştirilmiş bir trojan
(örneğin schoolbus bu şekilde grcframe.exe
adındaki trojanı buraya kopyalar) bilgisayar
açılırken sisteme yüklenir. İşte bu dizin içinde yer alan dosyanın silinmesiyle
trojandan kurtulmuş olursunuz. Fakat windows ortamında silmeye kalkarsanız. Program şu anda
kullanımda silemezsiniz gibi bir hata mesajıyla karşılaşırsınız. Bu sorunu
aşmak için başlat ta bilgisayarı kapat bölümünde Ms-Dos kipinde başlat seçeneği işaretli olarak kapatırsanız. Sistemininiz Ms-dos kipinde açılacaktır.
c:\windows>
şeklinde bir satır karşınıza çıkacak.
c:\windows>cd system
yazıp enter a basarsanız
c:\windows\system>
satırı oluşur. İşte burada silmek istediğimiz dosyanın adını yazarak
silebiliriz. Örneğin dosyamız winloger.exe ise
c:\windows\system>del
winloger.exe
satırını yazıp enter a basarsak
dosya sistemden silinmiş olur.
4)Registery
Başlat ta regedit yazıp enter
a basarsanız registery ayarlarına ulaşmiş
olursunuz. Aşağıda görüldüğü gibi
buradan
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/
bölümüne geçersek aşağıdakine benzer bir ekranla karşılaşmış
oluruz
Bu
ekranda görülen Run, RunOnce,
RunOnceEx, RunServices ve RunServicesOnce klasörleri bilgisayar açılırken sisteme
yüklenecek programları belirtir. Mesela Run
klasörünün içeriğine bakarsak aşağıdakine benzer bir ekran görürüz.
burada görülen programlardan şayet trojan olduğunu
düşündüğümüz varsa sağdaki bölümden program üzerine gelerek sağ tıkladığınızda
çıkan menüden sil i seçerseniz dosya kayıttan silinmiş olur. Bu işlemi diğer
bölümlerde de yapabilirsiniz(tabiki
bu görüntüler benim bilgisayarımın yapılandırması sizin ki farklı olabilir.
Yukarıda gösterilen programlardan LoadPowerProfil, ScanRegistry, SystemTray, TaskMonitor sistem tarafından kullanılan temel
programlardan dır. Diğerleri kullanıcı tarafından
eklenmiş olabilir(Sizin bilgisayarınız için de geçerli).
Start up programlarının kontrolü:
Bu
programları kontrol edebilmek için windows ile
birlikte gelen oldukça kullanışlı her bilgisayarda olan bir program var. Msconfig.exe adındaki bu program ile start up (başlangıç) dosyalarını kontrol edebilirsiniz.
Dolayısıyla sizden habersiz hiçbir dosya bilgisayarınızda çalıştırılamaz.
Başlat
ta çalıştır a gelerek msconfig yazıp enter a basarsanız aşağıdaki gibi bir ekranla karşılaşmış
olursunuz.
Görüldüğü
gibi biraz önce bahsettiğimiz win.ini, system.ini ve registery ayarlarını buradan kontrol etmek de mümkün.
Örneğin win.ini den tehlikeli gördüğümüz bir satırı kaldırmak istersek
sadece yanındaki onay işaretini siliyoruz. Bilgisayar açılırken o satırı
çalıştırmıyor. Fakat system.ini yi buradan düzeltmenizi tavsiye etmiyorum.
Ayrıca
yukarıda görülen başlangıç kartını aktif yaparsanız aşağıdaki gibi bir ekranla
karşılaşırsınız.
yukarıda
gördüğümüz programlar bilgisayar açılırken yüklenen (system.ini ve
c:\windows\system dizini hariç) win.ini ve registery de bulunan dosyalardır. Bu dosyalardan herhangi
birini yanındaki onay işaretini kaldırarak çalışmaz hale getirebilirsiniz.
Çoğunlukla msconfig ile sisteminizde trojan olup olmadığını anlamak mümkün olur. Bilgisayarınızın kullandığı programları biliyorsanız. Geriye
kalanlar tehlike işaretidir. Özellikle yukarıda da görüldüğü gibi c:\windows,
c:\windows\system veya c:\windows\temp dizini altındaki dosyalara dikkat
edilmesi gereklidir.
Start
up dosyalarını kontrol etmek için bir yol daha
vardır. Başlat ta programlar-donatılar-sistem araçları-sitembilgisi
çalıştırılırsa aşağıdakine benzer bir ekran çıkar.
buradan Yazılım Ortamı aktif hale getirilirse bizim işimize
yarayacak iki bölüm karşımıza çıkar; Başlangıç programları ve Çalışan Görevler.
Başlangıç programını aktif hale getirirseniz msconfig
den tanıdığımız programları görürüz. Bizim için asıl önemli olan yer Çalışan
görevler bölümü, bu bölüm aktif yapılırsa
bilgisayarınızda çalışan system dizini de
dahil tüm programlar gösterilir. Fakat sadece seyredebilirsiniz, değişiklik
buradan mümkün değil. Dikkat edilmesi gereken sürüm, üretici ve tanım kısımları
boş olan programlardır. Yukarıda ki örnekte bu şartlara uyan üç program mevcut
bunlardan grcframe.exe dosyası schoolbus
tarafından system dizinine yerleştirilen trojandır. Diğerleri benim kontrolümde sisteme yüklenmiş
olan www.ntvmsnbc.com
<http://www.ntvmsnbc.com> haber uyarı programı ile homesite 4.0 site yapım
programıdır. Fakat yine de dikkat etmek gerekir tanımadık ama sistem tarafından
kullanılan programlar olabilir. Fakat şüphe duyulan bir program bulunduğu
dizine gidilerek incelenebilir. Örneğin boyutu oluşturulma tarihi gibi kriterler bizim için önemli. Yazımızda bahsettiğimiz ve
yaygın olarak kullanılan trojanların boyutları
işinize yarayabilir. Sisteminizde mevcut olan trojan
adı, iconu, portu
değiştirilmiş olabilir fakat bulunduğu yer ve boyut size bunun hangi tür trojan olduğu hakkında ip ucu
verecektir. Örneğin sisteminizde trojan olduğunu
zannettiğiniz bir program var. Bu program c:\windows dizini altında ve
yaptığınız araştırmalar onun hakkında pek de iyi şeyler söylemiyorsa, boyut ve
oluşturulma tarihine bakabilirsiniz. Oluşturulma tarihi yakın ve boyutu 374 KB
ise yakın zamanda sisteminize bir program yüklemediyseniz muhtemelen bir subseven trojanıdır. Çünkü subseven ın boyutu 374 KB dır.
PORTLARIN KONTROLÜ:
Yazımızda da belirttiğimiz gibi trojanlar açık
olan portlar aracılığıyla diğer bilgisayar ile
irtibat kurar. Artık neredeyse tüm yeni trojanların portlarını değiştirmek mümkün olmaktadır. Fakat trojan kullanmayı seven arkadaşlar genellikle port ve diğer ayarlarını değiştirmeden kullandıkları için default olarak trojanlar
tarafından kullanılan portların bilinmesinde fayda
var(en azından çok kullanılan trojanların). Peki sisteminizde tehlikeli bir port
un açık olduğunu nasıl anlayabiliriz. Burada yine windows
imdadımıza yetişiyor. Başlat-Programlar-MsDos komut
istemi çalıştırılırsa karşımıza ms-dos ortamı çıkar. Burada
c:\windows>netstat -an
yazıp enter a basarsanız o anda bilgisayarınızın
iletişim halinde olduğu bilgisayar ile arasındaki kullanılmakta olan portlar ve ip numaraları gösterilir. (Portları kontrol için totostat
adında bir programı tavsiye ederim. Netstat ile aynı
işlemi yapıyor. Kullanımı daha pratik. Buraya <http://members.xoom.com/bayramaltun/totostat.zip>
tıklayarak download edebilirsiniz.)
Yukarıdaki
şekilde yerel adres sizi, yabancı adres bağlantı kurduğunuz karşı bilgisayarı
gösterir. Dikkat edersek 54321 ve 31337 numaralı portlar
açık görünüyor. Bunlar kesinlikle bilgisayarda trojan
olduğunun göstergesidir. 54321 schoolbus 31337 BO trojanın kullandığı default portlardır. Ayrıca aktif olan iki bağlantı var. Bunlardan
ikisi de bir web sayfasına bağlı olduğumuzu gösteriyor. Şayet web sayfasına
bağlanırsak karşı bilgisayarın kullandığı port olarak
80 (8080 de olabilir.), mail server a bağlanarak
mailleri kontrol ediyorsak 110, ftp programı ile web sitemize dosya
gönderiyorsak 21, telnet ile bağlantı kurmuş isek 25 numaralı portlar yabancı bilgisayarın açık portları
olarak görünür. Bunun haricindeki portlardan
yapılan(yabancı bilgisayarın portları) bağlantılar
tehlikeli olabilir. Fakat ve Chat ve proxy istisnası
var. Chat programı karşı tarafın 6667, 7000 gibi portlarını
açabilir. Eğer internete bir proxy üzerinden
bağlanıyorsak bağlantı yapılan bilgisayarın portu
1080 olarak görünebilir(tabi ki proxy
istisna bir durumdur. Çoğu kullanıcı normal bağlantı kurar.)
Bir portun açık olması bağlantı kurulduğu anlamına gelmez.
Yukarıda görüldüğü gibi 54321 numaralı port açık
fakat yabancı adreste bir bağlantı görünmüyor. Bu o anda bağlantı olmadığını
gösterir. 54321 numaralı porta bir bağlantı olduğunu
görmüş olsaydık. Kesinlikle birisinin bilgisayara girdiğinden bahsedebilirdik.
BİLGİSAYARINIZIN KULLANDIĞI
PORTLAR:
Port.zip <port.zip> dosyasını alarak öğrenebilirsiniz.(Dosyanın ismi üstüne tıklarsanız kopyalanmaya başlar. Dosya çok uzun olduğu için yazılmadı.)
TROJANLARIN KULLANDIĞI PORTLAR:
Aşağıda
gösterilen port numaraları server
dosyasının ayarları değiştirilmediği sürece doğrudur.
|
TROJAN İSMİ |
KULLANDIĞI
PORT |
|
|
|
|
icqtrojana |
4950 |
|
girlfriend |
21554 |
|
|
|
|
bo |
31337 |
|
ftp99cmp |
1492 |
|
master paradise |
40421 |
|
fire hotker |
5321 |
|
sockets de
troje |
30303 |
|
executor |
80 |
|
gate crasher |
6969 |
|
hackers paradise |
456 |
|
hack99 keyloger |
12223 |
|
netspy |
31339 |
|
net monitor |
7300 |
|
subseven |
1243-27374 |
|
invasor |
2140 |
|
Wincrach
1.03 |
5742 |
|
Wincrach 2.0 |
2583 |
|
Silencer |
1001 |
|
Devil |
65000 |
|
Millenium |
20001 |
|
Phineas |
2801 |
|
Backdoor |
1999 |
|
Evilftp |
23456 |
|
Phasezero |
555 |
|
Psyber Streaming Server |
1509 |
|
SSTROJG |
11000 |
|
Voice Client |
1514 |
|
Netbus |
12345-20034 |
|
Schoolbus |
54321 |
MAİL BOMBALARI:
İnternet
ortamında mail hesabının olması olmazsa olmaz şartlardan birisi. Ne var ki
insanların rahatı onları rahatsız eden kötü niyetli kişiler tarafından yazılan
mail bomber lar ile mail
hesabınız işleyemez hale gelebilir. Sahip oldukları bir mail bomber programı ile istediği mail hesabına sayısı oldukça
yüksek mail gönderebilirler. Mail göndermenin ne zararı olabilir
diyebilirsiniz. Fakat mail hesapları belli bir kapasiteyle sınırlıdır. Mesela 5
Mb kapasiteye sahip mail hesabınıza her biri 20 Kb lık 300 e-mail gönderilmesi
durumunda hesabınız çalışamaz durumu gelecek ve size gelen mailler yerine
ulaşamayacaktır.
Bu
operasyonun zarar vermek isteyen kişiye kaybettirdiği zaman ise sadece yarım
saattir. O yarım saat sörf yaparken aynı zamanda program size mailleri
gönderecektir.
NÜKELER:
Windows
işletim sistemi (özellikle Win 95) aslında sanıldığı
kadar kusursuz değildir. İşte nuke diye bilinen
programlar işletim sisteminizin bu açıklarını iyi bilen ve sürekli yeni açıklar
bulmaya çalışan programcılar tarafından yazılan programlardır. Çeşitleri bir
hayli fazladır. Özellikle win 95 işletim sistemini
tehdit ederler. Mavi ekran hataları sonrası sisteminizin yeniden başlatılması,
hattınızın kopması(şu an çok popüler olan ve modem resetleyici
diye bilinen nuke çeşitlerine karşı ise korunma
neredeyse imkansız) ya da internette sörf hızınızın
yavaşlamasına sebep olan değişik bir çok çeşidi vardır. Hatta çoğu kullanıcı
sürekli hattan düştüğünü ve bunun nedeninin internet servis sağlayıcısı olduğunu
zanneder. Gerçekte işler biraz farklıdır. Bunu anlamanın en kolay yolu ise
firewall(aşağıda anlatılacak) diye bilinen programlardan birinin sisteminize
kurularak saldırılara şahit olmanızdır. Hatta işin boyutları o kadar büyümüştür
ki. Nuke programları temin eden sitelerden bazıları
işin çığırından çıktığını fark ederek bu işi yapmaktan vazgeçmiş, hatta koruma
yollarını anlatmaya başlamışlardır. Bilgisayar kullanıcılarının büyük bir
çoğunluğu internette güvenlik meselesinin halâ lüks
olduğunu zannetmektedirler. Hedef kitle ise bu çoğunluktur. Aşağıda anlatılacak
tekniklerin uygulanmasıyla internette rahatça sörf yapabilecek yapılan
saldırıları çoğunlukla emin olarak tebessüm ederek seyredeksiniz.
Nukelerden yüzde yüz korunmanın bir yolu yoktur.
Fakat güvenlik için uygulanacak teknikler sayesinde büyük çoğunluğu bertaraf
edebilirsiniz. Hatta nuke atanların çoğu işin teknik
detayını bilmeden ellerindeki nuke programını
kullanan liseli öğrencilerdir.
VİRÜS:
Virüsler
bilgisayarınızda sizin isteğiniz dışında çalışarak zarar veren programlardır.
İnternet dünyasının gelişmesiyle yayılma hızları da bir hayli artmıştır. Boot sektöre bulaşarak orada yaşayanlardan, programlara
kendini enjekte edenlere, FAT da bozuk sektör göstererek hard diskinizde
kendine yer sağlayanlara kadar bir çok çeşidi vardır.
Bulaşma yolları ise aynıdır. Virüs bulaştırılmış herhangi bir disketi okumanız
veya yine virüslü bir programı çalıştırmanız durumunda kendisinin önceden
belirlediği saklanma stratejisine göre(az önce bir kaçını sıralamıştık.)
bilgisayarınıza bulaşarak aktif hale geçebilir.( Sisteminizde kurulu bir virüs
tarama programınız var ise bulaşma anında anti virüs yazılımınız aktif hale
geçerek sizi uyarır.) Aktif hale geçen virüs programı ise gelişen şartlara göre
sisteminize zarar verebilir. Gelişen şartlar diyorum çünkü,
Dos 6.22 li işletim
sistemlerinin kullanıldığı zamanlarda kullanılan zarar verme teknikleriyle şu
an kullanılan teknikler sayıca biribirinden
farklıdır. Mesela modemlerin yaygın olduğu günümüzde modeminizi kullanarak
milletler arası arama yapan ve yüklü telefon faturalarının gelmesine sebep olan
virüs çeşitlerinin eskiden olmasına imkan yoktu çünkü
modem fazla kullanılan bir donanım değildi. Virüslerden korunmanın en iyi yolu
ise Anti-virüs yazılımlarını kullanmanız ve şüpheli bulduğunuz programları
mümkün oldukça sisteminize kopyalamamanızdır. Şayet yine de sisteminize bir
virüsün girmesine mani olamamış iseniz. Bilgisayarınızı Dos
ortamında çalıştırarak virüsleri bulup yok etmeye
çalışabilirsiniz.(Norton ve Mcaffee programlarının Dos ortamında çalışan parçaları mevcuttur.)
Bilinen
en iyi anti virüs yazılımları Norton ve Mcaffe
programlarıdır. Fakat bunlardan Mcaffe sistemi
diğerine göre daha fazla yavaşlattığından dolayı benim tercihim Norton un
anti-virüs yazılımıdır.(Norton 5.0 ve Mcaffee 4.0.5 programlarını cracklı
hali ile Download bölümünden alabilirsiniz.) Virüs
tarama programları sadece virüslere karşı etkili değildir. Aslında isimleri
anti-virüs yazılımları olsada daha sonra
açıklayacağımız trojanlara karşı da bilgisayarınızı
korurlar. Anti-virüs yazılımları sisteminizi korurken iki yöntemi kullanır.
Normal olarak her virüsün bir bilgisayar kodu vardır. Virüs tarama programları
bir dosyayının virüslü olup olmadığını veri
bankasında bulunan, bilinen virüs kodlarıyla, kontrol ettiği programın
kodlarını kontrol ederek yapar. Şayet kontrol ettiği programın kodu virüs
tarama programımızın veri bankasında bulunan virüs kodlarından birini
içeriyorsa program virüslü kabul edilir. Yazılanlardan da anlaşıldığı gibi
virüs tarama programımızın veri bankası ne kadar zengin ise virüs ve trojanlara karşı da o kadar rahat olabiliriz demektir. İş te bu noktada virüs tarama programımızın veri bankasını
güncellemek son derece önemlidir. Eski veri bankasına sahip bir anti-virüs
programının size pek bir faydası olmaz. Anti-virüs yazılımlarının kullandığı
ikinci yöntem biraz farklıdır. Diyebilirsiniz ki anti-virüs yazılımı ne kadar
güncellenirse güncellensin. Sonuçta bir yerlerde birilerinin yazdığı virüs ve
ya trojanlar anti-virüs yazılım şirketlerinin veri
bankalarına dahil olmadan bize bulaşabilirler. İşte
anti-virüs yazılımlarının kullandığı ikinci teknik bu endişe düşünülerek
tasarlanmıştır. Bu yönteme göre virüs veya trojanlar
bilgisayar sistemlerinde benzer davranışlar sergilerler. Mesela diskete yazma
ve okuma işlemlerini gerçekleştiren interruptı
kontrol ederek herhangi bir disk veya disket okunmaya başlandığında aktif
olarak kendini disk ve ya disketin boot sektörüne
bulaştıran boot sektör virüsleri gibi bir çok virüsün hayatlarını devam ettirebilmeleri için
benzer davranışları sergilemesi gerekir. İşte bu davranışlar bilindiğinde
virüslerin kodları olamasa da virüs davranışı sergileyen programlar tesbit edilerek yakalanır. Sonuç olarak sahip olduğunuz iyi
bir virüs tarama programı sayesinde (aynı zamanda sürekli güncellenen)
virüslerin saldırısından büyük çoğunlukla korunmuş olursunuz.
ŞİFRELEME:
İnternet dünyasında şifre kullanımı oldukça yaygındır. Mail alırken, site kurarken, internete bağlanırken ya da herhangi bir şekilde güvenliğimiz için birçok güvenlik şifresi kullanmak zorunda kalırız. Fakat bizim için oldukça önemli olan şifrelerimiz şayet yeterince güçlü (az sonra açıklanacak) değilse başkaları tarafında bulunabilir ve bu da bizim için pek de iyi olmayabilir. Örneğin mail hesabınıza ait şifreniz şayet 4 basamaklı rakamlardan oluşuyorsa, şifrenizin çözülmesi için yaklaşık 15 dk sürecektir(tabi mail server ın hızına da bağlı). Şayet şifreniz 5 basamaklı bir sayı ise yaklaşık 90 dk içinde şifreniz bulunacaktır.(tabi bu arada mail hesabınızın user name ini hesaba katmıyoruz, çünkü çoğunlukla mail hesabındaki isim olacaktır.). Sonuçta doğru orantılı olarak 6, 7 ya da 8 basamaklı sayıların ne kadar zamanda çözülebileceği malum. Sonuç olarak şifreniz güçlü değilse isteyen birisi biraz azimle buna ulaşabilir. Gelelim güçlü şifre işine. Güçlü kabul edilen şifreler içerisinde büyük, küçük harfler, rakamlar ve özel işaretler olan şifrelerdir. Şayet şifreniz biraz önce saydığımız farklı gruplardan elemanlarla oluşmuş ise çözülmesi neredeyse imkânsız güçlü bir şifredir. ÖRNEK: “Ad2y@%?15a7” Bu tür bir şifrenin kırılması neredeyse imkânsız bir şeydir. Ancak bazı İnternet site ve mailleri bu tür şifreleri kabul etmez hata verir bu nedenle kabul edene kadar denemelisiniz. Yada özel mail veya site alırken bu konulara dikkat etmeli zor şifrelerde hata vermeyen MAIL ve HOST almalısınız. Bu tür zor şifre yapar Kulanıcı bilgilerini yanlış girer gizli soru ve cevabını da bu tür şifrelerden oluşturursanız HACK’lenmeniz nerede ise imkânsız olmuş olur.
FİREWALL:
Firewall
diye bilinen programlar, bilgisayarınızın portları
ile internet arasına yerleşerek yapancı veya sizin onaylamadığınız girişimlere
mani olurlar. Özellikle bilgisayarınızda bir trojan
var ise bile firewall sayesinde, trojan ile
başkalarının size ulaşmasını önler. Biraz önce söylemiştik, firewall virüs veya
trojan bulmaz sadece internete giriş kapılarınız olan
portların önünde durarak istemediğiniz giriş ve
çıkışlara mani olur. Bu durumda haberiniz olmadan bilgi girişi veya çıkışı
olmaz. Tüm kontroller sizin elinizdedir. Tabiiki iş
bu kadar kolay değil bu programların da bir takım ayarlamaları var fakat bu
ayarlamaları öğrendikten sonra geriye sadece saldırıları gülerek seyretmek
kalıyor. En iyi bilinen firewall programları Norton İnternet Security 2000, Conseal Pc Firewall ile Black İce dır. Fakat bunlar ücretlidir.
Ücretsiz olan Zone Alarm programı da vardır. Ayrıca
Firewall programlarında saldıran kişinin ip numarası da yazıldığı için karşı
atak için kullanılabilir.