Virs, Solucan ve Truva Atlarinin Gemisi ve PC lere Yapilan Insan Kaynakli Saldirilar

Giris
yesi bulundugum Faydali Siteler Grubu Moderatr Sn. Murtaza zdemir ile yapmis oldugumuz bir dizi iletiden sonra, sayfada yer alan Internet Gvenligi kismina gvenlige iliskin bazi yazilar hazirlayacaktim. Sn. Murtaza zdemir, Faydali Siteler yeleri iin hazirlamis oldugum bir yaziyi PC Gvenligi grubunda yayinlamisti. Ama 20 Aralik 2000 tarihinden beri gvenlikle ilgili bir grubumuz oldu. Bu grubu Sn. Murtaza zdemir ile birlikte kurduk. Bu yaziyi bitirdigimde belki grubumuz faaaliyetinde gemis ve gvenlik konusunda yelerine yardimci olamay baslamis olacaktir. Grubumuzun ismini Iternet Gvenlik olarak setik. Internet te iken nasil gvenli olabilecegimizi konusacak ve tartisacagiz. Bize gre bilgisayarin nasil kullanilacagi ve Internet e nasil erisim saglanacagi konularindan daha da nemli bu gvenlik konusu. Grubumuzun ye sayisi 25 ile 30 arasinda olursa bu tatmin edici bir sayi olur. nk yesi oldugum kulp ve gruplarda baslangi asamalarinda ye sayisi 50-60 arasinda olunca yeterli olarak grlyor. Ama onlar Ingilizce esasli uluslararasi kulpler. Bizimkisi ise sadece Trkiye de olacagi iin o sayiya ulasamasakta, baslamak iin 25-30 kisi yeterlidir. Denemesini yapacagim, bilgilendirme amali bu ikinci yazi Virs, Solucan ve Truva Atlarinin Gemisi ve PC lere Yapilan Insan kaynakli saldirilar basligini tasiyacak. Bu derlemeyi yapmaya alismamin amaci, gvenligini saglamaya abaladigimiz PC lerimizin nelere karsi korunacaklari, PC lerimize zarar veren kt amaclarla tasarlanmis ve sifrelenmis programlarin neler oldugu ve PC lerimize istegimiz disinda saldirmaya ugrasanlarin kimler olduklari ve amalarinin neler oldugu konularinda bazi bilgiler saglama. Gnmzde evinde yada isyerinde PC kullanan her kullanicinin karsisina ikan Firewall, AVP ve benzeri programlarin neden kullanildigi ve PC lere bulasan saka yada yikici zellikli belli kt amali programlar, PC lere ve siradan yada nemli sistemlere sizmaya abalayan saldirganlar gibi konular ikmistir ve bu konularda bazi kavramlar hep eksik gedik kalmistir. Iste byle bir yazi hem benim su ana degin bildigim bazi temel ve nemli bilgileri yerli yerine oturtmus olacak hemde arada kopuk kalmis, tamamlanmamis diger bazi nmli bilgileride telafi etmis olacaktir. Bu yaziyi hazirlarken yaptigim arastirmada olduka yarali veriler topladim. Onlari biraaraya getirip, yerli yerine oturtumak sanirim kolay olmayacak. Ama sonutan en azindan ben memnun kalacagim. Belki bazi yelerde yararlanma firsati bulacaklardir.

Tesekkr ve Anma
Yukarida belirttigim gibi, burada aktaracagim bilgilerin ogunu belli sitelerden elde ettim. Bazilarinin bizzat isim ve site adreslerini vererek, bazilarini ise sadece genel isimlerini vererek tesekkr etmek istiyorum. Bu bilgilerin derlenmesinde kullanacagim bir ok veri, yesi bulundugum ve sadece http://clubs.yahoo.com olarak zikredebilecegim bir ok kulp yesinin kendi ifadelerini de iermektedir.

Kt Amali Programlama (Malicious Coding)

Bu tr Virs (Virus) ve Solucanlar (Worm) bir sitem (System) e iki sekilde saldirmaktadir. Ya ierden, yada disardan. Geleneksel olarak, virsler bir i tehdit olustururken, Solucanlar daha ok dis kaynaklardan gelen bir tehdit olusturmustur. Insani tehditler ise bireyler yada gruplardan gelmektedir. Birey yada gruplar sisteme saldirmak iin, bilgisayar sebekelerini, genel telefon hatlarini yada baska kaydaklari kullanmaktadir. Bu saldirilarda hedef, genelde sistemde bilinen

Prepared By Erkan Kiraz

Virs, Solucan ve Truva Atlarinin Gemisi ve PC lere Yapilan Insan Kaynakli Saldirilar
gvenlik bosluklarinidir. olusmaktadir. Bu bosluklarin ogu, basit ifadeyle yapilandirma hatalarindan

Kt amali programlama (Malicious Coding): Virs ve Solucanlar kt amalarla yapilmis kk programlardan ibarettir. ogunlukla bir birine karistirilmaktadir. Ikiside kendisini kopyalamak gibi bir ortak amai paylasmaktadir. Ancak kullandiklari teknik ve yerlesecekleri sistem gereksinmeleri bakimlarindan, birbirlerinden kesinlikle farklidirlar. Bu farklilik saldriacaklari sistemlerin birbirinden ayri olan takimlardan kaynaklanmaktadir. Virus (Virus) lerin saldirilari daha ok kisisel bilgisayarlara ynelik iken, Solucan (Worm) lar okkullanicili sistemlere yneliktir. Virs ve Solucan larin gemislerini dikkatle incelersek, kt amala programlanmis bu programciklarin aralarindaki fark ve benzerlikler ortaya ikacaktir. Gemiste karsilasilan zelliklerden yola ikarsak, bunlarin bulunduklari ortamlardan aralarindaki farkliliklari aiklayabiliriz. Virs ve Solucan larin farkli islevsel gereksinmeleri vardir. Halihazirda her birinin gereksinmesini anyi anda karsilayacak herhangi bir sistem mevcut degildir. Kisisel Bilgisayar lar ve ok-amali istasyonlarindaki gelismeler incelendiginde, bu iki trn islevselligi aisindan aradaki mesafenin hizla kapandigi grlecektir. Yakin gelecekte, tek bir sistem virs ve solucanlarin gereksinim duyduklari seyleri saglamis olacaktir. Bu su demek oluyor, virs ve solucanlar yeni tr sistemlerde grnmeye baslayacaklar. Virs ve solucanlarin gemisinin bilinmesi, bunlarin gelecekte ne tr kt niyetler ortaya koyacaklarini tahmin etmemizi mmkn kilmaktadir.

Temel Tanimlar

Kt niyetle programlanmis bu tr programciklar iin bazi tanimlari yapmamiz gerekmektedir. Truva Ati (Trojan Horse): ok yararli bir islevi yerine getiren fakat ayni zamanda beklenmedik kt sonulara yol aan bir programdir. Virus (Virus): Bir kodlama parasi olup, mevcut alisabilir (Executables) programlara kopyalarini ekleyerek ogalir. Solucan (Worm): Kendikendisini kopyalabilen ve kopyalarinin alismasini saglayan bir programdir. Agsebekesi Solucani (Network Worm): Genel agsebekesinin imkanlarini kullanarak kendisini diger sistemlere kopyalayan ve o sistemde kopyasinin alisimasini saglayan bir programdir.

Virsler (Viruses)
Asagida sayacaklarim bir virsn vazgeilmez zelliklerini olusturmaktadir: Kopyalama, tasiyici olarak kullanilacak bir ev sahibi programi gerektirmektedir. Bu tasiyici distan gelen hareketler iin kullanilmaktadir. Aslinda, virs bulasmis bir bilgisayar bir Truva Ati (Trojan Horse) na dnsms demektir. Program yararli bir islevi yerine getirmekte ancak kt amalarla yazilmis bazi grevleri uygulamak gibi beklenmedik yan etkileri mevcuttur. Virsler, beklenmedik bir grevi getirmenin disinda, ogalma islevinide gereklestirmektedir. alsitirildiklarinda, virsler ogalmaya baslar ve kendilerini mevcut diger programlara eklerler. Iste bu beklenmedik ve denetlenemeyen kopyalama, virsleri bu denli tehlikeli kilmaktadir. Virsler genellikle platformlara saldirmak iin tasarlanmaktadir. Bir platform soyle tanimlanabilir; bir donanim bileseni ve bu donanimi alistiran geerli isletim sistemi (OS). Bir rnek verirsek, Donanim gz nnde tutularak, IBM_PC virs, yada isletim sistemi gz nnde tutularak bir DOS virs gibi.

Virslerin Gemisi (History of Viruses)

Bilgisayar Viris tabiri daha nceleri ta 1983 lerde Fred Cohen tarafindan kullanilmistir. O zamanlar Fred Cohen, Digital Equipment Corporation iin VAX Sistemi zerinde akademik deneyler yapmaktaydi. O zamanlar Virsler iki sekilde siniflanmaktaydi: Arastirma Virsleri

Prepared By Erkan Kiraz

Virs, Solucan ve Truva Atlarinin Gemisi ve PC lere Yapilan Insan Kaynakli Saldirilar
yada Denetimden Kaan Virsler (On the Wild Viruses). Arastirma amaciyla yapilan Virsler, belli bir arastirma yada alismaya ynelik olarak kaleme alinmis virslerdi ve bunlarin hibirisi kamuoyuna dagitilmamisti. Diger taraftan, belirli bir siklikta rastlanan virslere ise Denetimden Kaan Virsler denmisti. Ilk Bilgisayar Virs 1980 lerin basinda gelistirilmisti. Ilk Denetimden Kaan Virs AppleII virsyd. Ismi Elk Cloner du ve 1981 yilinda rapor edilmisti. Artik Virs lere asagida sayacagim platformlarda da rastlanmaya baslanmisti: 1) Apple II, 2) IBM PC, 3) Macintosh, 4) Atari, 5) Amiga. Yani dikkat edilirse geleneksel olarak daha iyi korumali ve belli amaca ynelik olarak retilmis platformlarda Virs lerin kt amalarina karsi korumali grnmemektedir. Hibir platform Virs lerin kt sonularina karsi bagisik degildir. Ancak ince ayrinti sudur; sonu olarak Virs ler hedef olarak Kisisel Bilgisayarlari semektedirler. Belli tarihten itibarense ise, Virs derdi IBM PC lerinin basini ok agritmisti. Zamanla, rnegin 1989 Agustos undan itibaren bir ok PC, yani Atari ST, Amiga, ve Macintosh platformlari iinde virs retilmeye baslanmisti. Akademik alismalar Virs lerin ok-Kullanicili Platformlar iinde retilmeye ugrasildigini gstermis ancak bunlara henz rastlanmamis ve herhangi bir rapor da verilmemisti. Virus ler yillar getike ve ilerledike olduka evrim geirmislerdir. Bunlari yazanlar, rettikleri Virs lerin izlenmesi, parlanmasi yada yok edilmesini zorlastirmak iin olduka aba sarfetmektedirler. Bu evrim zellikle IBM PC lerinde ok belirgindi. Bunlarin ogu, digerlerindan daha ziyade DOS Isletim Sistemi ne zgn hazirlanmis virslerdi. Ilk IBM PC Virs 1986 yilinda ortaya ikmisti. Adi da Brain idi. Brain bir boot sector virsyd ve kalicilik arzediyordu. Brain i 1987 yilinda su Virs ler izledi. Alameda (Yale), Cascade, Jerusalem, Lehigh, ve Miami (Gney Afrika nin 13. Cuma si). Bu Virs ler hedef alistirilabilir Dosyalar i (Executables Files) arasina COM ve EXE dosyalarini da ilave etmislerdi. Cascade yle kodlanmistiki, ne paralanabiliyor nede izlenebiliyordu. Degisken Kodlama (Variable Encryption) ytemi 1989 yilinda 1260 isimli Virs te denenmisti.
(Research Viruses)

Sinsi Virsler (Stealth viruses): Bu tr Virs lerin yazarlari izlenmesini engellemek iin esitli teknikler uygulamislardi. Ilk rnekleride 1989 yilinda ortaya imisti. rnegin Zero Bug, Dark Avenger ve Frodo (4096 yada 4K). 1990 lara gelindiginde yazarlar isi dahada ilerletmislerdi. Yeni tr virsler artik kendi kendilerini degistiriyordu. Kendilerini Degistiren Virsler (Self-Modifying Viruses): Bu yen, tr Virs lerin ilk rnegi Whale idi. 1991 yilinda GP1 isimli bir Virs retilmisiti. Bu Virs Sebeke-Duyarli (Network-Sensitive) idi ve Novell NetWare sifrelerini gizlice elde etmek iin kodlanmisti. Virs ler ta baslangilarindan itibaren gittike dahada karmasik yapili olmaya baslamislardi. IBM PC ailesine ait kabul edilen virs rnekleri daha ok ABD de ortaya ikarken, Stoned, Brain, Cascade, ve Jerusalem sinifina ait rnekler ise hizla yayilmaya ve her yerde ortaya ikmaya baslamislardi. Bu su anlamagelmektedir; artik virsler hertrl kosula karsi varliklarini srdryorlardi. Grntde vucudumuzdaki urlar gibi selim (zararsiz), harelkete gemeden nce kendilerini bir ok defa yenileyebilen yada bazen su ana degin hi bir virste denenmemis yeni tekniklerin denendigi egilimler sergilemeye baslamislardi. PC Virsleri (Personal Computer Viruses): Bu virsler sistemlerde etkin erisim denetimlerinde birakilan bosluklari kullanmaktadirlar. Virsler Dosyalari (Files) ve Isletim Sistemi (OS: Operating System) in bizzat kendisini degistirmektedir. ok-amali Sitemler (Mult-tasking Systems) daha siki denetimler kullanirlirken, ok-kullanicili Isletim Sistemlerinde (Multi-user Operating Systems) yapilan kurulum hatalari ve birakilan Gvenlik Bosluklari (Security Holes) yada baska ifadeyle Gvenlik Gedikleri (Security bugs) sistemde virslerin olusmasina olanak tanimaktadir. Bu durum da su baslangi sonucuna gtrmektedir; Virus ler Isletim Sistemi denetimlerindeki zayifliklari ve insan kaynakli olan sistemin kullanimi yada yanlis-kullanimi gibi zellikleri ktye

Prepared By Erkan Kiraz

kullanmaktadirlar. Yikici ve zarali virslerin kk kazinabilmekte ve yok edilebilmektedir. Yaratici zellikteki virslerinse daha genis bir baslangi sreleri bulunmakta ve tesbit edilmeden ok nceleri kendilerini kopyalamaktadirlar. Ve kullanilmakta olan ortalama Anti-virs Programlari (AVP) nida kendilerini izleyemeyecek ve yok edemeyecek sekilde degistirmektedirler. Sylendigine gre ok-Kullanicili Sistemler (Multi-user Systems) e ynelik virs yazilmasi olduka zordur. Ancak, Fred Cohen nin bir UNIX Sistemi (UNIX System) ne gizlice ulasabilecek bir vrs yazmasi sadece 8 saat gibi bir sresini almistir. Daga karmasik virslerin yazilmasi daha fazla aba ve zamani gerektirmektedir. Bu arada ok-kullanicili sistemler iin pek virs retilmez, nk bunu yapmak olduka zordur hipotezini kabul etmezsek, bunlari retmek iin hangi gerekeler kalmaktadir yazarkar iin? Belki PC virslerinde olusan patlama bize biraz ipucu verir. PC lerin ve PC uyumlu olanlarin sayisindaki artislar olduka yksektir. Bunlara ilaveten PC kullanicilari sik sik Disketleri, nerede ve nasil retildikleri bilinmeyen oyun CD lerini, sokalarda dahi satilan son zamanlarin gzdesi Yazilabilir (Rewritable CDs) Program CD lerini arkasalariyla degistirmekteler. Hatta sistemler bir sebekeye bagliysa tm bu Disket ve CD lerede gerek kalmamaktadir. Bu durumda byk sayida sistemlere, paylasilmakta olan agsebeke kaynaklarinin kullanilmasiyla virs bulastirilmaktadir.
okullanicili Systemler de virslere pek rastlanamamasinin temel nedeni, Sisyem Yneticilerinin (System Administrators) alistirilabilir Dosyalar (Executable Files) dan daha ok Kaynak Kodlari (Source Codes) ni kolayca degistirmelerinden kaynaklanmaktadir. Kaynak Kodlari CopyRight a bagli daha korunakli malzemelerdir. Donanim Mimarisi (Hardware Architecture) ndeki farkliliklardan dolayi alsitirilabilir Dosyalarin degisitirilmesine meydan verilmedigi iin kaynak Kodu (Source Code) nun degistirilmesi daha uygun ve kolaydir. NFS (Network File System= Agsebekesi Dosya Sistemi) ve RFS (Remote File System=Uzaktan Dosya Sistemi) benzeri sistemlerin ortaya ikmasi, alistirilabilir Dosyalari serbeste birbirleriyle degistiren (yani takas eden) bir ok ok-Kullanicili Sistemin yaratilmasiyla sonulanmistir. Bu durumda dahi, farkli sistemler arasinda alistirilabilir dosya takasi ok azdir. Burada su sonuca ulasabiliriz: Virsler, yayilmak iin genis bir birbirinin ayni sisteme ve alistirilabilir Yazilimlar (Executable Softwares) in takas edilmesine gereksinim duymaktadirlar.

Virs, Solucan ve Truva Atlarinin Gemisi ve PC lere Yapilan Insan Kaynakli Saldirilar

Virslere Karsi Mevcut Koruma Yntemleri (Available Protection Measures Against Viruses)
Hernekadar birok anti-virus ara ve rnleri artik mevcutsada, kisisel ve ynetimsel uygulamalar, kurumsal politikalar, zellikle ortak ve dis-kaynakli yazilimlarin kullanimi konusu, virs saldirilarina karsi savunmanin baslayacagi noktalardir. Kullanicilar, halihazirda mevcut olan birden fazla anti-virs rnnn esitliligini gz nnde tutmak zorundadir. tr anti-virs rn bulunmaktadir. 1) Kesif Aralari (Detection Tools), 2) Teshis Aralari (Identigication Tools), ve 3) Etkisizlestirme Aralari (Removal Tools). Tarayicilar (Scanners) Kesif ve Teshis Aralari na birer rnektir. Savunmasizlik Izleyicileri (Vulnerability Monitors) ve Degisim Denetleme Programlari (Modification Detection Programs) Kesif Aralari na birer rnektir. Yayilmayi nleyici Programlar (Disinfectors) Etkisizlestirme Aralari na bir rnektir. Bu aralar hakkinda biraz ayrintiya girmekte yarar gryorum. Tarayicilar ve Etkisizlestirme Aralari en gzde anti-virs yazilimlarindan sayilmaktadir. Bunlar Virs kodlamalari hakkinda saglanmis bir ok bilgiye dayali olarak hazirlanmaktadir. Tarayicilar, taninan ve bilinen Virsleri tesbit etmek iin Imza Kesimleri ni (Signature Strings) incelemekte yada Algoritmik Kesif Yntemlerini (Alghoritmic Detection Methods) kullanmaktadir. Etkisizlestirme

Prepared By Erkan Kiraz

Virs, Solucan ve Truva Atlarinin Gemisi ve PC lere Yapilan Insan Kaynakli Saldirilar
Aralari bir virsn ebadi ve virs bulasmis bir dosyanin ierigini onarmak iin, olasi degisiklikler hakkinda saglanan nemli miktardaki bilgiye dayali olarak alismaktadir. Savunmasizlik Izleyicileri degistirme abasini nlemek iin hemen harekete gemekte, zellikle sistemin ok duyarli olan kisimlara erisim engellemekte, yada virsn duyarli sistem kesintilerine (sensitive interrupts) kanca atma abasini tamamen bloke etmektedir. PC virsleri gerekte herhangi bir gvenlik zelligini bertaraf etmedigi iin, tm bu sayilanlari saglamak normal sistem kullanimi hakkinda muazaam bir bilgiye sahip olmayi gerekli kilmaktadir. Bu tr yazilimlar kullanicininda verecegi kararlara gereksinim duymaktadir. Degisiklik Izleiyicilerinin alismasi iin herhangi bir virsn varligina yada onun varliginin tesbit bilgisine gerek yoktur. nceden yapilan tesbit verilerine dayali olarak alisan Degisilik Izleyecisi Programlari Truva Ati yada Virs Bulasmasi taramasi yapmak iin kullanilmaktadir. Bu alisma syle baslamaktadir. nce temiz alisabilir Dosyalar ile ilgili bilgiler toparlanir ve hesaplanir. Bu zet bilgilerle bir baslangi verisi olusturulmus olur. Ardindan yapilan her mkerrer denetim hesaplamasi ve karsilastirmasi daha nceden yapilmis bu baslangi verileriyle mukayese edilerek yapilmaktadir. Basite yapilmis Denetimzeti verilerinin (Checksums) kolayca etkisiz hale getirilebilecegi dikkate alinmalidir. Dngsel Mkerrer Denetimler (CRC= Cyclical Redundancy Checks) daha iyidir ama bunlarda etkisizlestirlebilr. Sifrelemeli Denetimzetleri (Cryptographic Checksums) en yksek gvenligi saglamaktadir.

Solucanlar (Worms)
Asagida sayacaklarim bir Solucan (Worm) un en bilinen zellikleridir: 1) Kendisini Kopyalama, (Replication), 2) Kendikendine Yeterlilik (Self-contained); yani bir evsahibine gereksinim duymamasi, 3) Bir Islem baslatarak harekete geme zelligi (Activated by creating process). Bunun iin okkullanicili bir sisteme gereksinizm duyar, 4) Agsebekesi Solucanlari iin kpyalama iletisim baglantilari (communication links) boyunca olusmaktadir. Bir Solucan asla bir Truva Ati degildir; kendisini kopyalamak iin tasarlanmis bir programdir. Bundan baska, bu program bir dizi baskaca grevleride yerine getirebilir. Ilk Agsebekesi Solucanlari, yararli agsebekesi ynetim islevlerini uygulamak amaciyla yaratilmislardi. Yararli grevleri yerine getirmek iin sistem zelliklerinin avantajlarindan yararlanmislardi. Ancak, Kt amalarla olusturulmus bir Solucan (malicious worm) da ayni sistem zelliklerinin avantajlarindan yararlanmaktadir. Bu tr programlarin kendilerini kopyalamasina izin veren kolayliklar, her zaman onlarin iyi amalami yoksa kt amalami programlandiklarina bakmamaktadir.

Solucanlarin Gemisi (History of Worms)

Solucanlar ilkin Siralanmis Ortam larda (Distirbuted enviroment) belli grevleri yerine getirmek amaciyla yasal mekanizmalar olarak kullanilmisti. Agsebekesi Solucanlari, 1982 yilinda Xerox un Palo Alto Arastirma Merkezi nde yapilan bir dizi deneylerde, agsebekesi ynetim grevlerinin performanslari iin olduka mt vadeden programlar olarak grlyordu. Kaydedilen ilk sorun Solucan Ynetimi idi (Worm management); tek bir zamanda yapilacak kopya sayisinin denetlenmesi. Bu daha sonralari kt amala yazilmis solucanlarin yazarlari tarafindan denencekti. Solucanlar, bilgisayarlarin gvenligine potensiyel bir tehdit olarak, ilk defa 1987 yilinda Christmas Tree Exec isimli Solucanin IBM in Anabilgisayarlarina saldirisiyla dikkat ekmisti. Bu solucan hem IBM in agsebekesini hemde BITNET i kertmisti. Christmas Tree Exec solucani gerek bir solucan degildi aslinda. Kendini kopyalama mekanizmasi olan bir Truva Ati idi. Soyle tasarlanmisti; siradan bir kullanici, ierisinde (REXX) isimli alistirilabilir (Executable) bir programi olan bir Noel

Prepared By Erkan Kiraz

Virs, Solucan ve Truva Atlarinin Gemisi ve PC lere Yapilan Insan Kaynakli Saldirilar
Karti iletisi alacakti. Program, alistirildiginda ekrana bir Noel Agai resmi izecegini anlatiyordu. Evet bu dogruydu, program alistirildiginda aynen syledigi gibi ekrana bir Noel Agaci resmi iziyordu, ama diger taraftan gizlice kullanicinin adres defterindeki herkese kendisinin bir kopyasini yollamaktaydi. Internet Worm adindaki solucan ise gerek bir solucandi. 2 Kasim 1988 yilinda yayildi. Internet e bagli Sun ve DEC UNIX sistemlerine saldirmsiti. Solucanin her bir sistem ii hazirlanmis iki adet Binary (ikili birime dayali sayi dizesi) takimi vardi. Kendisini ogaltmak iin Aktarm Denetim Protokol/Internet Protokol n (TCP/IP=Transmission Control Protocol/Internet Protocol), genel uygulama katman protokollerini (common layer protocols) , isletim sistemi aiklarini, ve bir dizi sistem ynetim gediklerini kullanmisti. Solucan ynetimi konusunda esitli sorunlar son derece zayif sistem performansi ve agsebeke hizmetlerinin geri evrilmesiyle sonulanmsiti. Father Christmas isimli solucanda gerek bir solucandi. 1988 Kasim inda DECnet Internet i zerinde yayilmisti. Bu solucan SPAN ve HEPNET te VAX/VMS sistemlerine saldirmisti. ogalmak iin DECnet protokollerini ve bir dizi sistem ynetim bosluklarini kendi aamaci iin kullanmisti. Solucan, diskullanicilarin sistem zerinde belli grevleri yerine getirilmelerine izin veren TASKO yuda fel etmisti. Bu Solucan ilave bir grevi de yerine getirmekteydi. Basarali oldugu sistem sizmalarinin bir raporunuda belli bir siteye aktarmaktaydi. Bu solucan gizlilikle ilgili hic bir veriye zarar vermemisti. Bu bilgiler sifrelenmemis ve sistemdeki hibir kullaniciyada yollanmamisti. Bundan yaklasik bir ay sonraysa, grnste Father Christmas in baska bir degiskeni (variant) zel bir agsebekesinde yayilmisti. Bu degisken Sanayi Standartlari (Industry Standards) ve kolayca tahmin edilebilen sifreleri (easily guessed passwords) arastirmisti. Solucanlarin gemisi de PC Virsleri nin gelisiminde grlen benzer zellikleri sergilemektedir. Gittike artan giriftlik. zetlemeye alisrsak, Christmas Tree Exec gerek bir solucan degildi. Kendisini kopyalatan bir mekanizmasi olan bir Truva Ati idi. Internet Worm ise gerek bir solucandi; hem isletim sistemi gediklerini hemde genel ynetim sorunlarini kendi amaci iin kullanmisti. DECnet solucanlari sistem ynetimi sorunlarina saldirmis ve basarili sistem bilgilerinide merkezi bir siteye aktarmisti. Evet verilen bu bilgilerden bazi sonular ikartilabilir; 1) Solucanlar ogalmak iin isletim sistemindeki yada yetersiz sistem ynetimindeki gedikleri kendi amlari dogrultusunda kullanirlar, 2) Bir solucanin yayilmasi genellikle kisa ama ses getiren tm sistemde kntlerle sonulanir.

Solucanlara Karsi Mevcut Korunma Yntemleri (Available Protection Measures Against Worms)
Bir sistemin Solucanalara karsi korunabilmesi iin su iki konuda iyi uyumun bulunmasi gerekir; 1) Temel Sistem Gvenligi (Basic System Security) ve 2) Iyi bir Agsebekesi Gvenligi (Good Network Security). Sistem gvenliginin saglanmasinda uygulanacak bir ok islem ve aralar bulunmaktadir. Teme sistem gvenliginde, solucanlara karsi en nemli savunma yntemleri sunlardr. Kimlik Saptamasi ve Yetkilendirme (I&A, Identification & Authentication). Bunlar ogunlukla sistemle btnlesik durumdadir. Eger ustaca hazirlanmazsa, bu denetimler kolayca sistimal edilebilecek bosluklar olustururlar. Solucanlar bilhassa bu tr gedikleri sistimal etmede olduka mahirdirler; hem Internet hemde DECnet solucanlari Kimlik saptama ve yetkilendirme denetimlerini hedef almaktadirlar. Add-on Aralari: bunlar kurulum izleme aralari (Unix sistemi iin COPs gibi rnegin) ve checksum-temelli degisim kesif aralaridir. Kurulum izleme aralarinin tasarimi mkemmel bir sistem bilgisini gerektirir ancak solucan kodlamasinin bilinmesine ihtiya yoktur. Add-on aralarinin diger bir sinifida Kisisel Saldiri Teshis Aracidir (Intrusion Detection Tool). PC

Prepared By Erkan Kiraz

Virs, Solucan ve Truva Atlarinin Gemisi ve PC lere Yapilan Insan Kaynakli Saldirilar
izleme yazilimi iin bu biraz analog bir yntemdir ve oldukada karmasiktir. Bu ara, kullanicinin spheli bir sey yapip yapmadiginina karar vermek iin komut dizinlerini izler. Eger kullanici boyle bir seye ynelirse, sistem yneticisi durumdan haberdar edilir. Agsebekesi gvenlik aralarindan bir taneside Wrapper programlaridir. Bu programla, agsebekesi baglantilari, belli trde baglantilara izin verilmesi yada reddedilmesi (yada nceden kararlastirilmis bir takim sistemlerden gelen baglantilar) taranip filtrelenebilir. Bu program solucan girislerini Gvenilmez (untrusted) sistemler olarak tanimlayarak engeller. Gvenilir sistemlerin bir birinin stnde akismasi dolayisiyle belli solucanlarin sisteme bulasmasi mmkndr (A, B ye gvenir, fakat C ye gvenmez; B, C ye gvenir ancak C ye solucan bulastirir ve B de bu solucani A ya aktarir) ancak solucanlarin bu yolla ogalmasi olduka sinirli kalir. Bu aralar isletim sistemindeki gediklerin ktye kullanilmasina karsi bir sistemi koruma altina almazlar. Bu mesele tedarik asamasinda halledilmelidir. Tedarikten sonra, prosedrel bir konu haline gelir. Gvenlik bosluklari ve bu bosluklarin kapatilmasi iin sistem yneticlerinin elinede olduka fazla kaynak bulunmaktadir. Mesela CERT bilgisayar gvenligi danisma raporlari gibi. Agsebekesini solucanlara karsi korumak iin baska bir gvenlik ara trde kullanilabilir. Korumaduvaralari sistemi (Firewall system) bir kurulusun sistemini daha genis agsebekesi sistemlere karsi korur. Firewall Sistemleri: Bunlar iki sekilde bulunmaktadir. 1) basit olanlar yada 2) daha akilli olanlar. Akilli bir korumaduvari (Intelligent Firewall) : kurumsal agsebekesi ve daha genel anlamda tm dnyadan gelen baglantilar ile hostlar arasindaki baglantilari filtreler. Basit bir Korumaduvari (Simple Firewall): agsebekesini iki agsebekesine ayirarark disdnyadan gelen tm baglantilara izin vermez. Hostlar ve farkli agsebekeleri arasinda bilgi transferi iin korumaduvari programinda bir hesap olusturmak gerekmektedir. Yani geisine izin verilecek olanlar listelenmeli ve sisteme tanitilmalidir.

Gelecekteki Egilimler (Future Inclinations)

Kisisel Bilgisayarlar (PCs) solucanlara karsi bagisktirlar, nk bunlar tek amaca ynelik sistemlerdir. Yakinda kisisek bilgisayarlarin isletim sistemlerindeki artan islevesellik bu duruma son verecektir. Kisisel bilgisayarlar ok yakinda gerek bir ok-amali sistem olacaklar ve bu sistemlerin gsterdigi islevsellik ve gvenlik bosluklari derdinide devralacaklardir. ok-kullanicili sistemler hibir zaman virsler iin cazip olmamistir. Bunun nedeni sinirli sayidaki insanin kullanmasi, dsk yazilim alisverisinin bulunmasi ve bir tr erisim denetim formlarinin kullanilmasidir. 486 tabanli PC lerin piyasaya ikisindan itibaren bu durum degismeye baslamistir. PC tabanli makinelerin artan performansina ilaveten Unix isistasyonlari pazari hizla artis gstermis ve herkesin alabilecegi yksek performansli makineler retilmeye baslamistir. okkullanicili sistenler Pazar paylarini arttirdika virs yazarlari iinde o denli cazip hale gelmeye baslayacaklardir. ok-kullanicili sistemlerin bu genis benzesik toplulugu virs yazarlari ve solucan gelistiricileri iin ekici hedef haline gelecektir. Kisisel bilgisayar solucan ve virsleri yada solucan melezleri 90larin baslarinda tehdit olmaya baslamistir. Genis bir benzesik sistem kullanici toplulugu olusunca, kainilmaz olarak, daha nceleri bireysel ve mnferit olan virs ve solucan saldirilari bundan byle daha karmasik ve daha donanimli olmaya baslayacaktir. Virs ve solucan yazarlari daginik halde olan bilgi ve tekniklerini birlestirecekler ve bunlari kullanacaklardir. Kisisel bilgisayarlarin islevselligi arttikca, benzer gvenlik seviyelerine ulasmak iin yeni tr aralarin kullanimina ihtiya duylacaktir. Tarayicilarin kurulum izleme aralari ile donatilmasi gerekecektir. Kimliktesbiti ve Yetkilendirme (I&A) aralari (hala PC lerde mevcut degildir ve pekte nemsenmemektedir) kissel bilgisayarlarda ok nemli bir gvenlik araci haline gelecektir. Kisisel saldiri teshis aralari PC lerde de kullanilabilir. Ancak simdilerde pek mevcur degildir. Aslinda bu ve benzeri programlarin PC lerle birlikte kurulmus olarak verilmeleri gerekmektedir. Degisim teshiside PC lerde nemini arttirmaya baslayacaktir. Kisisel bilgisayar agsebekesi yneticilerinin bu yeni tr uygulamalara yani szn ettigimiz korumaduvarlari (Firewall)

Prepared By Erkan Kiraz

Virs, Solucan ve Truva Atlarinin Gemisi ve PC lere Yapilan Insan Kaynakli Saldirilar
aralarina ve tekniklerine asina olmalari gerekmektedir. Sistem yneticileri ok-kulanicili sistemleri yazarlarken bu bilgilere ok ihtiya duyacaklardir. PC ve ok-kullanicili ortamlar arasindaki farkliliklar azaldika, sistemlerin benzer tehditlerle karsilasmalarida o denli artacaktir. Virsler daha ok ok-kullanicili ortamlari tehdit ederken, solucanlarda kisisel bilgisayar agsebekelerinin basina dert olmaya baslayacaktir. Bu kainilmaz bir sonutur. Virs gelistiricileri ve solucan yazarlari iin her iki ortamda da kendilerini eken bir sr neden ve gereke vardir.

Kisisel Saldirilar (Personal Attacks or Intrusions)

Ieriden gelen tehditleri ise, hackerlar ve telefon hackerlari (phreakers) olusturur. Bunlar insan kaynakli saldirilarin iki ana unsurudur. Ierdekiler bir sistemin yasal (legitimate) kullanicilaridir. Iste bu yasal kullanicilarin gvenlik nlemlerini atlatarak sisteme erismelerine ieriden yapilan saldiri (insider attack) denir ve byle bilinmektedir. Hackerlar ise insan kaynakli tehdit olarak en ok bilinen bir tehdit trdr. Hackerlar, herhangi bir sisteme zek iin sizmaya alisan kisiler olarak bilinirler. Phreaker larda hackerdirlar, bir farkla, bunlar hackleme isini telefon kablolari zerinden gereklestirirler.

Sistem Ii Saldirilar (Insider Intruders)

Geleneksel olarak bilgisayar sistemlerine asil tehdidin ieriden geldigi bilinir. I Saldirganlarin olasilikla bazi kendine zg ama ve gayeleri vede sisteme yasal olarak erisim haklari vardir. Bunlar sisteme Truva Atlari yerlestirebilir yada dosya sistemini tarayabilirler (browsing attacks). Bu tr saldirilari belirlemek yada denetlemek olduka zordur. Bir tedbir de gelistirmek olanaksizdir. Isel saldirilar bilgisayar gvenliginin tm unsurlarini etkileyip tehlikeye sokabilir. Dosyalari diskizlemekte (browsing attacks) sistemde yer alan gizli ve nemli bilgilerin gizliligini (confidentiality) nemli oranda riske sokar. Truva Atlari (Trojan Horses) hem sistemin btnlgne hemde gizliligine gerek bir tehdit olusturur. I Saldirganlar sistemin isleyis ve depolama yetenegini asiri zorlayarak onu kullanilmaz hale sokarlar. Yada sistemin tamamen kmesine neden olurlar. Bu tr isel saldirilarin birden ok gerekesi olabilir. Birok sistemde, Gvenlige iliskin konularda (security-relevant objects) erisim-denetim ayarlari (access control settings) kurulusun gvenlik politikalarina pek uymaz ve bu politikalar pek dikkate alinmaz. Bu tr gedik ve bosluklarda i saldirganlarin hassas verileri dikizlemelerine ve sisteme Truva Ati yerlestirmelerine olanak saglamis olur. I saldirganlar (insiders) isletim sistemindeki bilinen gedikleri suistimal ederek, sistemin kmesine sebep olurlar. Eylemleri gzden kamakta ve denetlenememektedir nk denetlenmeleri ve izlenmeleri (audit trails) ya yetersizdir yada gzardi edilmektedir.

Hackerlar (Hackers)
Hacker tanimi yillar iersinde olduka degisiklik gstermistir. Bir zamalar hacker dan anlasilan, kullandigi sistemden en iyi sekilde yararlanmasini bilen ve bundan zevk alan siradan bir bilgisayar kullanicisi seklindeydi. Bir hacker bir sistemi genis bir sekilde kullanacak ve en ince ayrintisina kadar uzmanlasana kadar onu inceleyecekti . Byle bir kisi yerel bilgisayar kullanicilari nazarinda bir bilgi hazinesi olarak saygi grecekti. Bu isin stadi (Guru) ve Sihirbazi (Wisard) idi. Ancak simdilerde isler degisti. Hacker dan anlasilan, yetkisi olmadigi sistemlere sizan yada yasal bir erisim yetkileri olmamasina ragment uluslararasi alanda kendi sinirlarinida asarak baskalarinin sistemlerine saldiran kislerdir. Birde benim buraya alacagim hackerlarin kendilerini nasil tanimladiklarina ve olaylara nasil baktiklarina ve kendi ilerinde diger tiplere nasil baktiklarina dair bir zet bir tanim olacak. Bunu ben yesi bulundugum belirli kuplerdeki mesajlardan ve sitelerde yer alan text esasli yazilardan

Prepared By Erkan Kiraz

Virs, Solucan ve Truva Atlarinin Gemisi ve PC lere Yapilan Insan Kaynakli Saldirilar
derleyerek ve zetleyerek aldim. Hackerlarin kendilerini nasil tanimladiklarina ve kendi aralarinda bir birlerini nasil degerlendirdiklerine ait bir sr yazi mevcuttur. Ama buraya o tr kisilerin yazilarini bire bir almam ve burada yer vermem anlamsiz ve yersiz olur. Zaten bu tr kisilerin yeterince probaganda yapacak alanlari ve olanaklari var. Iste zetle hackerlar kendilerini nasil gryorlar; Hackerlar, yanlis yada kt kisiler degildir. Yanlis kisiler bilgi arayan yada onun pesinde kosanlar degilde elit crackerz lar arasinda bir tr kabul edilme pesinde olan tiplerdir. Crackerz lar, lamerz ler ve saldirganlar (rippers, intruders) baskalarina, bireylerin sistem ve bilgisayarlarina virs gndererek zarar veren aciz kisilerdir. Yaptiklari islerle gnrler. Bu onlarin bilgisizligini ve acizligini gsterir. Sonlarida polise enselenmek ve kodesi boylamaktir. En iyi hackerlar, bu ise yeni baslayan aylak hackerlardir. nk bu kisiler sadece bilginin pesindedirler. Gerek hackerlar, Windowsx in ve AOL un bebek uyutma taktikleri ile alaya alinan kisilerdir. Bazi kisiler iin 1.) Internet e girmek iin bilgisayarin nasil alistigini bilmeye hi gerek olmayabilir ve Internet te olmak onlar iin yeterli olabilir. 2.) Bilgisayar teknolojisi onlarin ilgi alanlarinda degildir. Fakat diger bazi kisiler iin ise durum degisiktir. Ama gerek hackerlar iin ne gigi hakli gerekeler vardir; 1.) O beyaz kutunun ardinda neler oldugunu grenmek iin yola ikmislardir. 2.) Diger bir neden ise alaya alinmaktir. nk bu iste yeni olanlar Windows kullanmaktadir. Onlar Windows u Windoze yada Winblows olarak adlandirirlar. Windoze un ne anlamina geldigini tahmin edersiniz. Uyutan demek. Winblows da argoda ayip bir kelime karsilig olarak kullanilmaktadir 3.) Gerek hackerlar sadece Linux ile ilgili degillerdir, diger tm isletim sistemlerini de dememek isterler. Denerler ve grenirlerde. Geride hi bir iz birakmayan, birakmamak iin her trl alinmis yada alinabilecek karsi nlemleride ayrintisina kadar bilen kisilerdir. Sessizce sizarlar bilgiye ulasirlar ve hi bir zarar vermeden geri dnerler. 4.) Macs ler ise bir arkakapi bulup uzaktan ynetim araci yerlestirilmeden sizilmasi en zor sistemlerdir. Yada makinenin hackerin olmasi gerekir. O zaman buna ulasmak demek ok sey bilmek ve bilgilerini uygulamak demektir. Bir sisteme sizmak demek, o sistemi sistem yneticileri yada yazilimcilari kadar iyi bilmek demektir. O zaman hacker okuyan, hep okuyan ve kendi kendine grenen kisidir. 5.) Gerek hackerlar ortalikta Back Orifice ve diger benzeri Truva Atlari ile dolasip baskalarina zarar vermezler. 6.) Gerek hackerlar baskalarini aldatan, onlara zarar veren kisiler degilde bilgiye susamis, sadece bilginin pesinde kosan ve bilginin yayilmasini engelleyen her trl dzene karsi olan kisilerdir. Sonuta gerek hackerlarin yada olamayanlarin yaptiklarindan hepimiz bir sekilde zarar grmekteyiz. Maddi ve manevi bedeller demek zorunda kalmaktayiz. Bunun iin bu tr kisilerin nasil alistiklarini bilmek ve ona gre ne tr nlem ve tedbirler alabilecegimizi dsnmek ve planlamak zorundayiz.

Sistemlere Yetkidisi Erisim Kazanmak Iin Hacker larin Kullandiklari Yntemler (The Ways Mostly Used by Hackeders to Unauthorized Aceess To The Systems)
1) 2) 3) 4) Sifre kirma (password cracking), Bilinen gvenlik zayifliklarini sistimal etme (Exploiting known security weaknesses), Agsebekesini Aldatma (Network spoofing), Sosyal Mhendislik (Social engineering).

Sifre Kirma (Cracking Pass Words)

Yetki disi sistem erisim saglamak (unauthorized system access) iin yaygin olarak kullanilan iki kullanilan teknik vardir. Sifre kirma (password cracking) ve bilinen sistem zayifliklarini suiistial etme (exploitation of known security weaknesses). Sifre kirma sisteme erisim saglamak amaciyle

Prepared By Erkan Kiraz

Virs, Solucan ve Truva Atlarinin Gemisi ve PC lere Yapilan Insan Kaynakli Saldirilar
baska kullanicilarin hesaplarini elegeirmek iin kullanilan bir tekniktir. Kullanicilar sik sik ve genellikle zayif sifreler kullanirlar. Sifrelerde bilinen iki temel zayiflik vardir; birincisi, kolayca tahmin edilebilecegi gibi, kullanicin yakinlarinin isimlerini yada onlara ait bilgileri kullanmasi, digeride, szlklerde bulunabilecek kelimelerin kullanilmasidir. Hackerlar buna Szlk saldirisi (dictionary attacks) yada bir diger anlami ile brute-force derler. Nedir bu yntem? Syle, hackerlar, sifreleri tahmin kaynagi olarak szlkleri kullanirlar. Kullandiklari programlarda szlklerde yer alan tm kelimeleri tarayacak zellik vardir.

Bilinen Gvenlik Bosluklarinin Suistimal Edilmesi (Exploitation of Known Security Holes)

Yetki-disi sistem erisim (unauthorized system access) saglamak iin kullanilan bir diger yntem de bilinen gvenlik zayifliklarini (security weaknesses) ktye kullanmaktir (exploitation). Sistem gvenliginde iki tr zayiflik vardir: 1) Kurulum hatalari (configuration errors) ve 2) gvenlik bosluklari (security bugs, security flaws, vulnerabilities). Kurulum hatalari konusunda endislere gittike artmaktadir. Kurulum hatalari, ta ilk asamalarda sistem kurulurken istenmeden bazi boslluk ve gediklerin birakilmasidir. Sonralari, kuruluma gre sistem risk altina girer, hatta bazi yasal islemlerden dolayi da bu olusabilir. Buna bir rnek vermek gerkirse, sistem bir dosya sistemini dnyaya verirse (export) (buda bir dosya sisteminin ierigini agsebekesinde yer alan diger tm sistmelere aik hale getirir) sonra herhangi makina bu dosya sistemine erisim hakki kazanir (belli basli bir satici bu kurulumla sistemlerini sevkedebilir). Gvenlik bosluklari, herhangi bir uygulama programinda var olan bir gedik nedeniyle sistemde beklenmedik bazi olaylara izin veriilmesi dolayisiylada olusabilir. rnegin, ekrani kilitleyen bir programi amak iin arka arkaya klavyede yapilan tuslamalarlada programin kmesine ve sistemin erisilmez hale gelmesine neden olabilir.

Agsebekesini Aldatma / Atlatma (Circumvention of Newtwork)

Yetki-disi erisim (unauthorized access) elde etmenin nc bir yoluda agsebekesini (network) atlatmaktir (circumvention, spooping). Agsebekesini atlatm: Bir sistem kendisini agsebekesine (network) farkli bir sistemmis gibi tanitir (Mesela A sistemi kendi adresi yerine sanki B sistemiymis gibi davranarak B nin adresini yollar). Byle davranmasinin nedeni, sistemlerin bir grup gvenilir (trusted) sistemler arasinda alisma yaklasiminin bilinmesidir. Gven (trust) birebir tarzinda bildirilir. A sistemi B sistemine gvenir (bu B sisteminin A sistemine gvendigi anlamina gelmez). Bu gvenden (trust) kasdedilen sudur: Gvenilen sistemin (trusted sistem) sistem yneticileri grevlerini dogru yapmakta ve sistemleri iin uygun gvenlik seviyesini srdrmekteler. Agsebekesi atlatma (network spoofing) isi su sekilde olusur: Sayet A sistemi B sistemine gvenirse ve C sistemi de B sistemiymis gibi davranip A sistemini atlatirsa, aslinda kendisine engellenmis olan A sistemine erisim yetkisini kazanmis olur.

Sosyal Mhendilik (Social Engineering)

Sosyal Mhendislik (social engineering) yetki-disi sistem erisimi elde etmenin en son yoludur. Sistem operatrlerini arayarak kendilerini nemli bir kisiymis gibi tanitarak, sisteme erisim sifrelerinin degisip degismedigini soran ve degistiyse yeni sifrenin ne oldugunu soran tipleri bilirsiniz. Kisaca sosyal mhendisligi syle tanimlayabiliriz; bir kullanicin sifresini tahmin etmek iin kisisel bilgileri kullanmak yada o kisiymis gibi davranmak.

Telefon Hackerligi (Phreaking)

Telefon hatrlariyla hackerlik yapmak hackerligin baska bir trdr. Phreaker, bir crackerin tm zelliklerini tasir, ancak bunlarin yaninda telefon sistemine yada telefon sistemini destekleyen islemlere karsi zel bir ilgisi vardir. Bunlara ilave olarak, Internet teki tm makinalar, Genel Telefon Santral Sebekeleri, Ticari telefon hatlari ilgi alanindadir. Yetenekli bir phreaker sadece

Prepared By Erkan Kiraz

Virs, Solucan ve Truva Atlarinin Gemisi ve PC lere Yapilan Insan Kaynakli Saldirilar
telefon sistemine degil telefon sisteminin destekledigi bilgisayar agsebekelerinede (network) zarar verir. Phreaker iin sisteme telefon sistemleriyle saldirmanin iki avantaji vardir. saglayacagi ilk avantaj sudur, telefon sistemi saldirisi izlenemez. Baglantiyi oklu telefon santrallari kanaliyla yada listelerde yer almayan yada kullanilmayan numaralardan yapmak izlenmeyi olanaksiz hale sokar. Bundan baska saldiriyi telefonla yapmak, bazen kendisi ile ilgili bir taramanin yapilip yapilmadigini gzlemlemek iin de uygundur. Telefon sistemini kullanmanin ikinci avantaji, karmasik bir host makinenin bir saldiri olup olmadigini belirleme ihtiyaci olmamasidir. Bir saldiriyi baslatmak iin basit bir terminale bir modemin baglanmasi yeterlidir.

Kurulum Hatalari (Configuration Mistakes)

Artik gnmzde masast isistansyonlari (workstations) bir ok bilimadami ve profesyonellerin vazgeilmez aralari haline gelmektedir. Bu sistemlerin ynetiminde yeterli egitim saglanmadika, sistemdeki gedikler nedeniyle ierden ve disardan gelebilecek saldirilarin sayisinda artis olacaktir. Isistasyonlari (Workstations) asli isleri bu tr makinalari ynetmek olmayan kislerce kullanilmaktadir. Isistasyonu fiili grev gelisimlerinde yardimci olarak kullanilan basit aralardir. Sonu olarak, eger isistasyonu kurulacak ve alistirilacaksa, personel belirli konularda yeterince bilgilendirilmeli ve egitimden geirilmelidir.

Sifreleme Hatalari (Encryption Mistakes and Negligences)

Sistem ve Bilgisayar gvenligi konusunda bilgisayar kullanicilarinin yaptigi ihmalkarlik ve vurdumduymazlik ok ciddi tehlikelere yol aabilir. Kullanicilarin bu egilimleri de denetimlerin kullanilmamasi yada ihmal edilmesi ve kolayca tahmin edilebilecek sifrelerin kullanilmasi ile sonulanmaktadir. Kullanici deyince aklimiza sadece agsebekesine (network) bagli bilgisayar kullanicilari yada monitr kullanicilari gelmesin. Kullanici tanimi isistasyonlari (workstations) yneticilerini de bu kapsamaktadir. Simdi bu kavrama, kurulum hatalari ve gvenlik bosluklarinin onarilmasi konusuna gsterilen gevsekligi de eklersek, durum daha da vahim hale gelir. Bu durumu ortadan kaldirmak iin, sistem o sekilde tasarlanmali ki, gvenlik varsayimsal olsun (default) ve personelde sistemlerinin gvende (secure) oldugunu teyit edecek yeterli aralarla (tools) donatilmis olsun. Sphesiz, personel yeterli bir egitimden geirilse ve gerekli aralarla donatilsa dahi tehlike var olmaya devam edecektir. Gvenligi atlatan yeni tr kodlamalar ve saldiri teknikleri uygulanmaya devam edecektir. Tehdidin varligini devam ettirmesi mitsizligi arttirmamalidir. Ama hale bir ok kurulusta gvenlige iliskin bilgilerin yayginlastirilmasi konusunda herhangi bir mekanizma bulunmamaktadir. Kuruluslar bilgisayar gvenligi konusunu ilk ncelikli konular arasina almayi ihhmal ettikleri srece, dis saldirilara karsi ortalama her sistem tehdit ve risk altinda olmayi srdrecektir.

Isel Saldirilar (Insider Intrusions)

Sistem denetimleri kurluslarin ortalama gvenlik politikalari ile pek uyusmamaktadir. Bunun dolaysiz sonucu nedir! Bazi kullanicilari bu politikalari defalarca pasgemekte ve bunada izin verilmektedir. Sistem yneticilerinin zayif erisim denetimleri (access controls) nedeniyle politikalari yrlge koyma ve zayif denetim mekanizmalari nedenleri ile de bu politikalarinin ihlal edilmesini izleme durumlari yoktur. Denetim mekanizmalari yerli yerinde olsa bile, Uretilen muzzaam miktardaki veri hacmi nedeni ile sistem yneticilerinin politika ihlallerini izlemesi olanaksiz hale gelir. Gvenlik konularinda btnlk ve saldiri ve sizmalari izleme konulari zerinde yapilan arastirmalar bu tr bolsuklarin doldurulmasinda mit vadedici grnyor. Bu tr arastirmalar uygulanabilecek rnler (programlar) haline gelene dek, sistemler, iten gelen saldirlari ve tehlikelere karsi savunmazsizlik durumlarini koruyacaklardir.

Prepared By Erkan Kiraz

Virs, Solucan ve Truva Atlarinin Gemisi ve PC lere Yapilan Insan Kaynakli Saldirilar
Srekli Baglanti (Connectivity To Internet)
Baglantida olma durumu (connectivity) hacker larin sinirlarini asma ve neredeyse diledikleri bilgisayarlara farkedilmeden ve izlenmeden erisebilmelerine olanak saglar. Bir agsebekesi hostunu tescil etmek, sistemin modem telefon numaralarini telefon rehberine kaydetmekte ayni anlama gelir. Sistemin modem hatlarini gven altina almadan bunun asla yapilmamasi lazimdir (geri-arama modemleri yada sifreleme uniteleri gibi). Ancak, bir ok agsebekesi (network) hostlari agsebekesi erisimleri (network access) iin hi bir zel gvenlik nlemi almis durumda degil gibidir. Sistemlerinin atlatilmasi yada yaniltilmasini izleyecek karsi nlemleri yoktur, bazi zgn hizmetlere (specific services) erisme olasiligi olabilecek hostlarin denetlenmesi iin tedbirleride yoktur. Kerberos, Secure NFS ve RFC 931 yetkilendirme aralari ve TCP Wrapper programalari verilebilir. Kerberos un nasil atlatilacagi yada devre disi birakilacegina iliskin bir sr hacker aracinin piyasada cretsiz dolastigini gvenlik konusunda hassas olanlar bilirler. Ancak bu sistemler kismi zm olarak grldg ve islevselligi ciddi oranda yavaslattiklari iin o kadar yaygin kullanilmamaktadir. Dagitilmis Saldiri Izleme Sistemleri (DIDS, Distributed Intrusion Detection System) yada agsebekesi gateway lerin filtrelenmesi gibi yeni tr zm yollari piyasaya ikmakta ve uygulanmaktadir. DIDS faaliyetleri bir subnet zerinde izlemektedir. Filtereleme gateway leri (filtering gateways) kuruluslarin agsebeke politikalarini dis agsebekelerine karsi bir arabirimde tutacak sekilde tasarlanmaktadir. Bu tr zmler yada nlemleri herkesin olmasa bile ogu kisinin agsebekesine gvenle erismesini saglarken disaridan gfelecek haker saldirilarinida sinirlayacaktir.

Bilginin Yayginlastirtilmasi (Insamination of Information)

Aninda Mdehale ve Gvenlik Timi Forum u (FIRST, The Forum of Incident Response and Security Teams) isimli bir kurulus olusturulmus. Bu kurulusun yeleri gnll olarak bilgisayar gvenlik sorunlari ve korunmasi konulari ile ilgilenmekteymis. Kurulus gvenlik konusunda bilgi dolasiminin saglanmasi iin ciddi abalar sarfetmekteymi. Periyodik olarak, bu kurulustan gvenlik virslerinin temizlenmesi ve sklmesi konusunda bilgiler saglanabilmekteymisr. Ama su anda bu kurulustan bilgi alan sistem yneticilerinin yzdesi olduka dskms. Ama zaman iinde sanirim artar. Bu duruma gre sanki kt niyetli kisiler yada hackerlar sistem yneticilerine gre bilgi kanallarindan daha iyi yararlanmaktalar. Phrack yada 2600 gibi kkl ve bazi bilgileri hacker dnyasinda hizli bir sekilde yayan kuruluslari yada siteleri vardir. Bir sr dergileri yayinlanmaktadir. Blten tahtalari (Bulletin boards) ve Internet arsivleri mevcuttur. Bunlar yoluyla virs kodlarini, hackleme bilgilerini ve hackleme aralarini rahata dagitmaktalar. O kadar yasaga ragmen bu gibi sanal yada gerek dnyadaki dergi ve yayinlar bilginin yayilmasi ve bilgilendirme gerekesi ardinda faaliyetlerini srdrmektedir.

Copyrighted to Erkan Kiraz. Bu yazi kaleme alanin izni alinarak yayinlanabilir. (This study may be copied only with prior consent of its Author. Prepared By Erkan Kiraz erkankiraz@yahoo.com on 25/12/00-23/01/01) Ltfen dikkat, nc sahislara ait Web Sayfalari, rnleri, programlari, yazilim ve uygulamalari yada hizmetleri ile ilgili verilen referanslar yada linkler, istek zerine yapilan neri ve tarifler, Internet Gvenlik Grubu nun, Owner larin yada Moderator larin onayladigi yada garanti verdigi anlamina gelmez. Internet Gvenlik Grubu nun iletilerinde yada Files kisminda yer alan dosyalarinda verilen linkler ve firma isimleri bilgi vermek amaci ile uygun grldg iin verilmektedir. Olusabilecek olumsuz sonular tarafimiza hibir sekilde herhangi bir ykmllk ve sorumluluk aktarmayacaktir. Please note that references to third party Web sites, products, sorftwares and programs or services, recommendations and descriptions supplied on demand shall not be construed as an endorsement or guaranteed by Internet Gvenlik Group and/or its Owners and/or its Moderators. Links to third-party sites and names of companies are provided as a convenience for informational purposes only. Consequential negative results shall not bind us whatever they might be.

Prepared By Erkan Kiraz

KAYNAK : http://groups.yahoo.com/group/BilgisayarVeInternetGuvenlik/

Virs, Solucan ve Truva Atlarinin Gemisi ve PC lere Yapilan Insan Kaynakli Saldirilar

Prepared By Erkan Kiraz