Tarayıcı ön belleğine dikkat, hacker'lar için bulunmaz nimet demiştik ama tarayıcıların yarattığı tehlikeler devam ediyor. Microsoft Internet Explorer'da ActiveX ve Firefox'da kritik bir güvenlik açığı var. Hemen tarayıcınızı güncellemenizi tavsiye ediyoruz. İşte açıkların detayları ve yamalama linkleri.
Daha önce sizlerle paylaştığımız, Word’deki dökümanter güvenlik açığı ve Publisher Güvenlik açığının üstünden çok az bir zaman geçmesine rağmen Internet Explorer 6.x Sürümünde kritik bir güvenlik açığı gündeme geldi.
Internet Explorer’ın Control ActiveX fonksiyonunun hata vermesine neden olan ve kodlama hatasından meydana geldiği bildirilen güvenlik açığı, daxctle.ocx "KeyFrame()" Parametresini etkiliyor. Hacker’lar özel olarak hazırladıkları saldırı kodlarını sıkıştırarak bir web adresine http 302 olarak yönlendiriyor ve Explorer’a URLMON.DLL hatası verdirerek sistem de istedikleri kodları çalıştırabiliyorlar.
Windows Services Pack 2‘yi de etkileyen güvenlik açığı, Hacker‘ların Exploit‘ler (sızma kodu) yazarak, uzaktan bilinçsiz kullanıcıların sistemlerini ele geçirmeye yönelik saldırılar düzenlemesine neden oluyor.
Internet Explorer’deki bu kritik güvenlik açığından korunmak için
www.microsoft.com/technet/security veya Microsoft Bülteninden yamaları indirebilirsiniz.
Mozilla / FireFox Çoklu Güvenlik Açıkları ;
Güvenlik açığı bulunan ve risk taşıyan tarayıcı sadece Microsoft Internet Explorer değil, yanısıra Explorer’ın en büyük rakibi ve kullanımı hızla artan Internet Tarayıcısı FireFox’da da kritik bir güvenlik açığı açıklandı. Mozilla FireFox 0.x ve 1.x Sürümlerini etkileyen çok güvenlik açığı sayesinde hacker’lar ;
1. Uzaktan Cross site scripting ataklarında bulunabiliyorlar.
2. JavaScript kodlarındaki zafiyeti kullanarak SSL Protokolünden geçmiş siteler üzerinden saldırılar da bulunabiliyorlar.
3. Exploit (sızma) kodları ile kullanıcıların bilgisayarlarının sürücülerine zarar verebiliyorlar.
4. Büyük Ağ’lar üzerinde tehlike yaratabiliyorlar.
Bu, son zamanların en büyük Mozilla FireFox Güvenlik açığından korunmak için ; 1.5.0.7 Versiyonunu yüklemeniz gerekiyor.
www.mozilla.com/firefox adresinden versiyonunuzu yükseltebilirsiniz.
IP Öğrenme
İlk önce kendi IP’mizi öğrenelim Başlat > Çalıştır’ı açın ipconfig yazıp enter’layın.Evet şimdi IP adresiniz karşınızda..
IP Adresini bulmayı 2 bölüme ayıralım..
1- Site IP Adresi
2- Kişisel IP Adresi
Site IP Adresi
Çeşitli programlarla da yapabilirsiniz fakat en kolay yolu;
Başlat > Çalıştır’a gelip CMD yazın.Şimdi ise ping yazdığınızda un IP adresi karşınıza gelir..
Kişisel IP Adresi
1-MS-DOS
2-Mail Yoluyla
3-NetMeeting
4-Outlook Exp.
5-Sniffer’lar
Tek tek açıklamaya başlayalım..
1-MS-DOS
MSN’den Kişisel IP almanın tek yolu vardır o da MS-DOS.Aslında basit bir iş bunu yapmak.Amaa herzaman olacak diye bir şey sözkonusu değil yani bazen hedef şaşabilir Şimdi diyelim ki MSN’de biri ile sohbet ediyorsunuz.Arada bir konu açın ve bir dosya yollayın.Ne olduğu farketmez resim de olur, müzikte, dosya da...Karşıdaki yolladığınız dosyayı kabul ettiğinde dosya inerken siz;
Başlat > Çalıştır’ı açın.CMD yazıp enter’layın.Açılan pencereye netstat –n yazıp tekrar enter’a basın.Şimdi karşınıza birkaç IP çıkacak Şimdi ordaki IP’lerden 2 hane ile başlayan IP lere bakın eğer yanında ESTABLISHED yazıyor ise IP adresi bulduk.Amaa IP’ler birden fazla çıkabilir.Bunun nedeni ise MSN’de başkaları ile yazışmakta olmanızdır..
2-MAIL YOLUYLA
Bu yöntem sadece size gelen mailler doğrultusunda kullanılabilir.Tek tek açıklamak zorundayım..
Hotmail Üzerinden
Hotmail hesabınızı açın.Sonra Options > Additional Options > Mail Display Settings > Message Headers kısmına gelin.”Full”ü işaretleyin ve OK’e tıklayın.Şimdi Inbox’a geçin.Gelen Mail’e tıklayın.Mail açıldığında msjların üstünde IP adresini göreceksiniz..
Yahoo Üzerinden
Yahoo hesabınızı açın.Inbox’a girin.Sonra da IP sini almak istediğiniz kişinin mailini açın.Şimdi sağ üst köşede Full Headers yazısı olacak.Ona tıklayınca maili yazan kişinin IP adresini öğrenebilirsiniz..
Pop3 Üzerinden
Gelen maili farklı kaydedin.Şimdi kaydetmiş olduğunuz mail’in uzantısı .eml dir.Bunu .htm yapın ve dosyayı açın.Mail’in üzerinde IP adresi yazılı olması gerekir..
3-NETMEETING
Yine bir MSN yöntemi daha..MSN de IP sini almak istediğiniz kişiye NetMeeting uygulamasını kabul ettirirseniz karşınıza şöyle bir yazı çıkar..
84.000.000.00 numaralı kişiden yanıt bekleniyor..
Burada 84.000.000.00 numara’sı IP adresi oluyor yani..
4-OUTLOOK EXPRESS
İki yöntemi var aslında.
1-Gelen Mail’i tutum masaüstüne sürükleyin.Şimdi .eml uzantılı dosyanızın uzantısını .htm yapın.Dosyayı açın ve üstte yazılı olan IP adreslerini görün..
2-Outlook ta gelen mail üzerine sağ tıklayın ve Options’a girin.Burada birkaç bilgi olur.IP Adresi de bu bilgiler arasınra olabilir..
5-SNIFFER’LAR
Öncelikle Sniffer’ın program olduğunu bilelim.Bu yöntem ile sizinle iletişimde olan herkesin IP Adresini öğrenebilirsiniz.En kücük paylaşımı bile...Örneğin Kazaa’dan bir dosya çekmektesiniz.Sniffer’ınız IP adresini görüntülüyor.Aynı şekilde MSN’deki kişilerinde IP adresini öğrenebilirsiniz..
Sistem Açıkları & Kapatmak
Sistem güvenligini saglama ve olasi aciklari bertaraf etmek icin kullandiginiz yapiya bazi noktalarda yamalar yapmak durumundasiniz.Default kurulum sonrasi servis paketlerini ve sonrasi cikan yamalari eklemek bile bazi noktalarda aciklari ve acik olarak gorulebilecek ve sömürülecek hizmetleri kisitlamaya veya erisimleri kisitlamaya yetmeyebilir.Bu durumlarda sistem ici uygulamalar manual olarak kullanici tarafından kontrol edilmelidir.Basit regedit kisitlamalari,program erisim ve calisma noktalari ayarlari ,kurulumlari sirasinda olusabilecek bazi hatalar vs.. Bu dokuman da bu yontemlerin bazilarinin kullanimini ve sonuclarini paylasmak amaciyla yazilmistir.
1- PORT KULLANIMI : Portlarin mantigini kavrayan birisi baglanti noktalarinin ne denli onem tasidigina vakiftir.Listening durumda olan bir port,o port'a baglanmak icin yazilmis bir tojan icin guzel bir kapidir.
Ilk kurulum sonrasi XP isletim sistemi SP2 ve sonrasi yamalar yuklu olsa dahi bazi portlarini acik olarak verecektir.Simdi sisteminizde C:netstat -an yazarak "listening" "Syn_Sent" "Established" durumlarina bakabilirsiniz.
Asagidaki ornek yapi uzerinden bazi islemler yapacagiz.
C:>netstat -an
Etkin Bağlantılar
İl.Kr. Yerel Adres Yabancı Adres Durum
1- TCP 0.0.0.0:1039 0.0.0.0:0 LISTENING
2- TCP 0.0.0.0:1040 0.0.0.0:0 LISTENING
3- TCP 10.0.0.3:1951 207.46.1.9:80 ESTABLISHED
4- TCP 10.0.0.3:1999 64.233.161.99:80 ESTABLISHED
5- TCP 10.0.0.3:1978 66.249.93.104:80 ESTABLISHED
6- TCP 10.0.0.3:1984 18.7.22.69:80 ESTABLISHED
7- TCP 10.0.0.3:1995 64.233.183.99:80 ESTABLISHED
8- TCP 10.0.0.3:1996 64.233.183.99:80 ESTABLISHED
9- TCP 10.0.0.3:1997 64.233.183.99:80 ESTABLISHED
10-TCP 127.0.0.1:1036 0.0.0.0:0 LISTENING
11-TCP 127.0.0.1:1067 127.0.0.1:1068 ESTABLISHED
12-TCP 127.0.0.1:1068 127.0.0.1:1067 ESTABLISHED
"Listening" = 1 nolu satirda sistemimize ait 1039 nolu port dinleme durumunda,Yabanci adresten gelecek baglanti istegini kabul edecek ve baglanti kurulacaktir.
"Established" = Kurulu olan mevcut baglantilarimizdir.Ornek olarak 4 nolu siraya bakabilirsiniz.Sistemime ait olan 10.0.0.3 ip adresim 1999 nolu portumu kullanarak yabanci adres olan 64.233.161.99 [Google] ile ona ait 80 nolu portla iletisim kurmus.
Birde sys_sent durumu vardır.Bu da bizim veya uzak pc nin baglanti kurma istegi gonderdigi anlamindadir.
Simdi sisteminde netstat -an sonucu acik olan portlarinizi nasil kapayacaginizi anlaticam.Sisteminizde bir firewall kurulu oldugunu varsayiyorum.Firewall ilk kurulumda genel portlari kapar ve sizin her islem yaptiginizda sorar baglanti istegine izin veriyormusun diye.Sizde politikanizi olusturur ve sureci isletirsiniz.Fakat genel olarak 135,137,138,139,445 vs portlariniz aciktir.Bu portlar en cok saldiri alan ilk 10 Port arasindadir ve Listening durumunda olduklari icin gelen baglanti istegini (Syn_Sent) kabul ederler.
Oncelikle 139 nolu port ile baslayalim.NetBıos yoluyla rahatlıkla size erişim saglarlar.1-2 populer oyuncakla bunlar kolaylikla yapilir.Yerel ag baglantisiOzelliklerInternet Iletisim kurallari(TCP/IP) ye cift tiklayinGelismisWINSEn altta devre disi biraki isaretleyin.
135 nolu port :Regediti acin.. HKLMSoftwareMicrosoftOle.. Yan tarafta EnableDCOM verisini cift tiklayin ve icerisini N olarak degistirin.Bos alanda sag tiklayin.YeniDize degeri olusturun.Icerisine EnableRemoteConnect yazin,deger verisi olarak yine buyuk N yazin.
Bir üst basamakta RPC yi acin (HKLMSoftwareMicrosoftRPC) sag tarafta DCOM Protocols girdisini cift tiklayin ve ncacn_ip_tcp adli veriyi silin,digerlerine dokunmayin.
445 nolu port : HKLMSystemCurrentControlSetServicesNerBTParam eters.. sag tarafta TransportBindName i cift tiklayin ve icerisindeki -Device- girdisini silin.
21,23,25,110,1026,38566, nolu portlar: Bunlarda açık varsa Firewall uzerinden rahatlikla kapayabilirsiniz.
REGEDIT ACIKLARINI KAPAMA : Sistemin tum isleyisinin bir nevi kontrol merkezidir regedit.Her islem onceden tanimlidir icerisinde ve islemler sistem kurulumunda bazi aciklari beraberinde getirir.Gereksiz baglanti,bildirim,erisim vs gibi kisimlar kullanilmadigi takdirde guvenlik alaninda aciklara sebep olacaktir.Şimdide default regedit/dizin erişim yollarinin onunu tika***** sistemi bir nebze daha iyilestirecegiz
// Bu islemlerinizi yapmadan once regedit.exe nin bir kopyasini alin ve baska bir yere tasiyin.Olasi yanlis girisleriniz sonucu Safe Mode dan geri yuklersiniz.Sistem yedeginizide alin.. Regedite yanlis giris hata kabul etmez ve sistem tekrar acilmaz.
** Lamerlerin oyuncaklarina karsi savunma :
DDos türevi baglanti istekleri gonderen kisinin bu hareketine karsi ;
HKLMSYSTEMCurrentControlSetServicesTcpipParam eters
EnableICMPRedirect"=dword:00000000
EnablePMTUDiscovery"=dword:00000000
EnablePMTUBHDetect"=dword:00000000
PerformRouterDiscovery"=dword:00000000
EnableDeadGWDetect "=dword:00000000
NoNameReleaseOnDemand"=dword:00000001
SynAttackProtect"=dword:00000002
KeepAliveTime"=dword:000493e0
TcpMaxHalfOpen"=dword:00000064
TcpMaxHalfOpenRetried"=dword:00000050
TcpMaxPortsExhausted"=dword:00000005
TcpMaxConnectResponseRetransmissions"=dword:000000 03
ayarlarini bu sekle getiriniz.Firewall kullanicilari eger dogru congiguration yaptiysaniz bunu sizin yerinize program otomatik olarak yapacaktır.
** Uzaktan yardimi kapatma :
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetContro lTerminal Server
fAllowToGetHelp"=dword:00000000
fDenyTSConnections"=dword:00000001
Bunun disinda uzaktan yardimin kullandigi portuda degistirebiliriz.Boylece istekler cevapsiz kalacaktir.
** Ag icinde olanlar icin erisim kisitlamalari :
-- Anonim kullanici erisimini sinirlar.Kullanicilar sistemdeki dosyalarinizi goremez.
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetContro lLsa]
restrictanonymous"=dword:00000001
-- Ag Uzerindekilere paylasimi kapatir
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurre ntVersion PoliciesExplorer
NoRecentDocsNetHood"=dword:00000001
YONETIM KONSOLU AYARLARI / Group Polıcy :Bu konsoldan bilgisayara ve kullanicilarina ait erişim kısıtlamalarını ve düzenlemelerini yapabilirsiniz.Emın olmadiginiz kisimlara dokunmayin.Olasi sistem hatasi yanlis girisleriniz sonucu meydana gelebilir.
** Bilgisayar Yapılandirmasi/Windows Ayarlari/Guvenlik Ayarlari/Yerel Ilkeler/Kullanici Haklari Atamasi..
Bu kisimda erisim ilkeleri belirlenir.Daha once buralari degistirmemis arkadaslar emin olmadiklari kisimlari degistirmesinler!
Sag blokta nesnelere kimlerin erisebilecegi belirli default olarak.Bazi kisitlamalar yapmak gerek buradada.Ornek olarak ; Bu bilgisayara ag uzerinden erisime izin verme.. Uzaktaki bir sistemden oturum kapatmaya zorla.. Bu bilgisayara ag uzerinden erisime izin verme (LAN)
Bilgisayar Yapılandirmasi/Windows Ayarlari/Guvenlik Ayarlari/Yerel Ilkeler/Guvenlik Secenekleri..
Bir kac ornek veriyorum yine.Gerisini siz kendi politikaniza gore belirleyin.
Uzaktan erisilebilir kayit defteri yollari,
Adsiz kullanicilara everyone izinleri uygulansin,
Adsiz baglanabilecek Paylasimlar.
** Bilgisayar Yapılandirmasi/Yonetim Sablonlari/Windows Bilesenleri.. Altta bulunan ara birimler icerisinde yapılandırma yapıcaz.
- NetMeeting : Devre dışı
- Internet Explorer : Internet Denetim Masasi/Guvenlik Sayfasi/Internet Bolgesi..
Not:Sadece bu ayarlarin hepsini yapmaniz durumunda actiginiz sayfalarda sikintilar yasayabilirsiniz.Login problemi,hareketli sayfalarin goruntulenmemesi vs.. Sayfa interaktifligini yitirir fakat hiç bir zararlininda yuklenmesine izin vermez.Yuksek onem arz eden girislerinizde bu ayarlari kullaniniz,iclerinde uygun olani belirleyin.
Sag tarafta bulunan Java: Devre Dışı,
Imzasiz AktiveX Yuklemnemsi : Devre Dışı
Aktivex Denetimlerini ve eklentilerini çalıştır : Devre dışı
Java Programciklarinin Calistirilmasi : Devre Dışı
...... Sayfadan uygun olanlari seçin.
- Terminal Hizmetleri : Terminal hizmetleriyle kullanıcıların baglanabilirligi : Devre Dışı
Sadece bu ayari yapmaniz yeterli.Digerleri erisim izni olmadigindan zaten gecersiz kalir.
** Bilgisayar Yapışandirmasi/Yonetim Sablonlari/Sistem/.
Uzaktan Yardim : Ikisinide devre disi yapin
Uzaktan Yordam Çagrisi (RPC) : Devre Disi
Internet Iletisim Yonetimi :Internet iletisimini kisitlayi etkin yaparak bir ustteki klasore giriyoruz.Klasorun iceriginin tamaminin ETKIN oldugunu goreceksiniz.Isteginize gore kapayip acabilirsiniz.
** Bilgisayar Yapışandirmasi/Yonetim Sablonlari/Ag/Windows Guvenlik Duvari/Etki Alani Profili..
XP nin dahili firewallinida kullanan icin : Yapilandirmalarin aciklama kisimlarini oku***** etkinlestirebilir veya kapayabilirsiniz.
Tum ag baglantilarimi Koru: Etkin
Uzak masa Ustu Ozel Durumuna Izın Ver: Devre Disi
Dosya ve yazici paylasimi ozel durumlarina izin ver: Devre Dısi
Uzaktan Yonetim Ozel durumuna izin ver : Devre Disi
........
Ayarlarinizin tamamini kontrol edin.Bu ayarlar etki alani icerisinde gerceklesir.Bir altta Standart profil kisminada ayni secenekleri secerek uygulayin
- Yazicilar : Eger yaziciniz varsa ve ag ici kullanimi soz konusuysa bu kisimda Web tabanli yazdirmayi devre disi birakin.Default bırakılan Printer şifreleri şirketleri büyük sıkıntıya sokacaktır.Bir kaç örnek vermek gerekirse ;
Saldırgan nmap ve türevi tarayıcılarla baglı bulunduğu portu bulup telnet baglantısı kurmaya çalışacaktır.Default bırakılan passwordlar ile uzaktan tüm erişim saglanacaktır.
** Kullanici Yapilandirmasi :
Yönetim sablonlari : Bu kisimdaki basliklardan sisteminizdeki diger kullanicilar icin kisitlamalar yapabilirsiniz.Bilgisayar yapilandirmasindaki ayarlarimizi buradada uygulayin.
BILGISAYAR YONETIMI :
Bu kisma bilgisayarim ikonuna sag tikla***** yonet seceneginden girebilirsiniz.
- Sistem araclari/Yerel Kullanicilar ve Gruplar..
Users kismindan Guest,Help Assistant vs kullanicilari kapayabilirsiniz.Ayni sekilde Gruplar basligindanda istemediginiz erisimleri kisitlayabilirsiniz.Cmd den Net user i kullanip oradaki support u silerseniz ekranda daima hata mesaji alirsiniz.Bu kisimdan kapatirsaniz sistemde herhangi bir hata olusmaz.Kapattiktan sonra cmd de support,help vs gorunmeside bir seyi ifade etmez.Yonetim konsolundan kapatilirsa erisimleri kapanir.
- Hizmetler ve UygulamalarHizmetler : Bu kisimda sistem uzerinde calisan sevislerin erisimlerini kisitlayalim.Mesela TCP/IP NetBıos Yardımcisi.. Uzaktan erisim baglanti yoneticisi.. Uzaktan kayit defteri vs.. Uzak erisimleri kisitlayin.
COOKIE YONETIMI : Icerige basit olarak degineyim.Cookie (cerez) genel olarak bir siteye baglanti yaptiginizda sizin bilgisayariniza yukledigi dosyadir.Siz üyesi olduğunuz bir siteye her girisinizde sisteme en son hangi tarih ve saatte girdiginizi gorursunuz,hatta tıkladığınız linkleri bile belirgindir.Sisteme eristiginizde cookie nize sistem tarafindan bir ID atanacak ve bu sizin bir nevi kimlik kartiniz olacaktir.Daha once hic o siteye girmemis birisi ilk girisinde site tarafindan rastgele bir ID ile tanimlanir.Eger daha once giris yaptiysa ,girisde sitenin database de karsiligina gelen cookie bulunur ve sistem kullaniciyi tanir.Saat tarih vs bilgiler boyle bilinir.Login olurken beni hatirla secenegini tiklayanlarin cookie sine sabit bir ID atanir ve her giriste bu ID kullanilir.Siz sifre&kullanici adi girmezsiniz.Sizin bilgisayardaki cookie baska biri tarafindan ele gecirilirse sizin ID ile sisteme erisim saglayabilir.Korunmak icin bazi seyleri yapmamiz gerek.Simdi bunlara bakalim.
Kullanici tercihlerine gore reklam gorme nette hepimizi ilgilendirir.Siz devamli arastirmalar yaptiginiz bir konu ile alakali reklamlari baska sitelerde gorebilirsiniz.Bu reklam size ozeldir.Sizin tercihleriniz bilinir ve buna uygun reklam verilir.Bu da olayin farkli bir boyutu fakat sirketlerin para kazanma mantıgına dair guzel bir bilgidir.Cookiler yasa dışı olarak el değiştirir ve reklam şirketleri kullanicilarin tercihlerine göre reklam sunarlar.
Bunun icin oncelikle cookie lerin oldugu klasoru salt okunur olarak ayarlamaliyiz.Bu yontemle siteler cookielere ulasabilir fakat uzerine yeni bilgi ilave edemez.Bunu IE kullananlar Internet Secenekleri/Gizlilik uzerinden uygulayabilir.Firefox kullanicilari Araclar/Secenekler/Gizlilik/Cerezler Basligindan gerekli duzenlemelerini yapabilir.Ucuncu kisilerin cerez birakmalarini engelleyin.Ayrica firefox u acin ve arama cubuguna "aboutfig" yazin.Buradanda kendi seceneklerinizi belirleyin.
Tarayicinizin ayarlarinda bulunan Java ,JavaScript ve AktiveX düzenlemelerini kesinlikle yapin.Bunlarin acik olmasi sizin sistem uzerinde yaptiginiz tum ayarlari ve firewall u bir kenara itip url uzerinden kod calistirilmasina ve cookie bilgilerinizin baska yerlere ulasmasina olanak tanir.
PROGRAM DUZENLEMELERI :
Farkli amaclar dogrultusunda kurdugunuz programlarin nerelere bilgi gonderdigi,hangi portlarinizi actigini hangi kisimlara erisim sagladigini belirlemeniz gerek.PC niz icin hayati oneme sahip regedit,her program kurulumundan sonra yeni eklemelerle yeniden duzenlenir.Mesela bir AV programi kurdunuz fakat bunun sistem acilisinda calismamasini istiyorsunuz.Bunu düzenlemenin yollari malum bilinir herkesce.Msconfig veya Regeditteki Run klasoru altindan degistirebilirsiniz.Fakat bunlari her an gorme fark etme durumumuz yok.Bunun icinde regedit uzerindeki degisiklikleri kontrol edebilen bir program kurmaliyiz.Bildiginiz gibi her yuklenen program Regedite kayit yapar kendini.Mesela Trojanlar,keyloggerlar.. Sistemde calisan bir Regedit koruyucu program trojanin veya baska zararlinin yuklenmesini engelleyecek ve size uyari verecektir.xxx programi xxx dizinine yuklendi,kabul ediyormusunuz diye.
AV programa guvenen veya Firewall dan bir sey gecmez diyenler tekrar dusunmeli ve regedit protector turevi programlari kullanmalidir.Tabiri caizse ev yapimi ve anti-viruslere yakalanmayan onlarca trojan ve keylogger var ve hala birilerinin bilgisayarindan bilgi caliyorlar.Cagirdiginiz bir sayfadan veya kurdugunuz bir programdan rahatlikla yuklenir ve AV zararliyi DB sinde gormedigi icin uyari vermez
Trojan Nedir & Nasıl Korunulur?
Trojanlar ( Truva Atı)
Trojan Nedir?
Trojan bir sisteme girmek için arka kapı açan bir programdır.
Trojan Neler Yapabilir?
Trojan, internet bağlantı şifreniz dahil bilgisayarınızdaki bütün şifrelerin ele geçirilmesini sağlayabilen bir saldırı programıdır. Bilgisayarınızın sistem ayarlarıyla oynanmasını, cpu nun, monitörün ve hatta ekran kartının yakalamsını sağlayabilir. Dosyalarınız karıştırılabilir, silinebilir veya değiştirilebilir. Bilgisayarınız formatlanabilir veya restart edilebilir. Mesajlarınız okunabilir, sizin yerinize mesaj yazılabilir, aktif programların listesi çıkarılabilir…vs. Bunlar trojan programının yapabileceği şeylerin sadece birkaçı.
Başlıca bilinen trojan programları Netbus ve Backorifice dir.
BACKORIFICE :
BackOrifice ve BackOrifice2000 adı altında 2 tane sürümü vardır. Bu Trojan programı bir Microsoft Windows üzerinde kurulduğu zaman kullanıcının sistem üzerinde tam yetkili(full access) olmasını sağlar. Bu program firawall tarafından engellenebilmektedir. Henüz firewall’I aşabildiği tespit edilmemiştir.
4.3.3. Nasıl Korunulur?
Güvenmediğiniz kişilerden exe veya com dosyaları almayınız.
Eğer bilgisayaranızda trojan olduğundan şüpheleniyorsanız bilgisayarınızdaki giriş ve çıkışları kontrol eden firewall* gibi bir prgram kullanın ve en kısa zamanda cleaner programını çekip bilgisayarınızdaki trojanlardan kurtulun.
Norton anti-virüs gibi, bir dosyayı çalıştırmadan kontrol eden bir anti virüs programı kullanın ki dosyalara trojan bulaşmışsa çalıştırmadan uyarı alın.
Anti-trojan programları kullanın.
Firewallar güvenlik mekanizmalarının ilk aşamalarıdır.
Anti-Trojan Programları:
NETBUSTER:
Netbuster programı netbus(trojan) kullanıcılarına karşı sistemi koruma amaçlı bir programdır.
Netbus ile sizin bilgisayarınıza bağlanan kullanıcıları tespit edip onlardan korunmak için geliştirilmiş bir programdır. Bu program yardımıyla o anda bilgisayarınıza bağlanmış olan hackerlara mesajlar gönderebilir ve onlarla oyun oynayabilirsiniz. .Bu programın asıl amacı tam olarak bir güvenlik sağlamak değildir. Netbus kullanarak bilgisayarınızın portlarına bağlanan başka kullanıcıları o portlardan uzak tutmak amaçlıdır.
Netbuster’ in genel olarak iki kullanım amacı vardır. Birincisi bilgisayarınız da bulunabilecek trojanları temizleyerek bilgisayarınızı olası hackerlardan kurtarmak, ikincisi ise, bilgisayarınıza netbus kullanarak bağlanmaya çalışan kişilerin ip adreslerini tarihleri(gün--saat) ile birlikte kaydederek, karşıdakinin size ne yapmak istediğini ve onun bilgisayarı hakkındaki bilgileri öğrenebilirsiniz böylece sizde ona karşı bir oyun oynayabilirsiniz. Çoğu kullanıcı netbus SERVER ile Netbus Client arasındaki farkı bilemezler . ikisini birden çalıştırırlar ve farkında olmadan kendilerinede trojan bulaştırmış olurlar.Böylece sizde onun bilgisayarı üzerinde hüküm kurabilirsiniz.
NETBUSTER NASIL ÇALIŞIR?
Net buster I çalıştırdığınızda hafızanızdaki kayıtlı Netbus SERVER lerini tarar. Bulunduğu takdirde bunlar silinecektir ve program size kendiliğinden çalışan dosyaların olup olmadığını soracaktır. Eğer yoksa muhtemelen netbus server sisteminizde kayıtlı değildir ve ya tanınmayan bir versiyonudur. Aksi takdirde portlarınız netbus server'a bağlı veya kullanılıyor demektir.
Netbuster 1.31 programında VARIOUS seçeneğini kullanarak programın kullanımında değişiklik yapabilirsiniz . Mesela şekilde görüldüğü gibi, biri sizin makinanıza bağlandığında don’t disconnect seçeneği var: Bu demektir ki bir kişi bilgisayarınıza bağlandığında onu disconnect etmiycektir. Seçenekleri değiştirerek 60 saniye içinde bağlantıyı kesmesini yada bir mesaj gönderip öyle disconnect olmasını da sağlayabilirsiniz.
PROTECTOR PLUS:
Bilgisayarınızda bulunan trojan türü programları bularak bunları etkisiz hale getirmeye yarayan bir programdır.
Protector plus programını çalıştırdığınız da Sizin seçtiğiniz bir alanı tarayarak herhangi bir trojan bulduğunda bunu bilgisayarınız dan siler ve işlem bittiğinde de raporu size gösterir. Bu rapora göre bilgisayarınızda trojan bulunmuşsa bunları listeleyerek üzerinde yapılan işlemleri listeler.
THE AGGRESSOR
The Aggressor, ileri seviye kullanıcılar, adminler ve Internete bağlı kuruluşlar için geliştirilmiş bir network yönetim ve korunma programıdır. Türkiye' de geliştirilen ilk firewall olma özelliğine sahip olan yazılım dünyada da benzerleri arasında oldukça iyi bir üne sahiptir. Henüz program çıkmadan bile programın Web Sitesine günlük ortalama 54.000’in üzerinde ziyaret yapılmaktaydı. Son derece modüler olan programa, Plug-in özelliği sayesinde en son yenilikleri tek bir dosya ile ekleyebilir, hatta SDK’sı aracılığı ile kendiniz modüller yazabilirsiniz, Delphi ve Visual C için plug-in desteği mevcuttur. Thread manager ve Custom Plugin Runner gibi bir çok gelişmiş fonksiyonlar ve komut satırından hoşlananlar için, Linux benzeri bir komut arabirimine sahiptir. Bu komut arabirimi (CLI) sayesinde Aggressor’ın GUI’si ile yapabildiği herşeyi komut satırları ile yapmak mümkündür.Crashguard özelliği sayesinde herhangi bir koşulda oluşabilecek software hatalarını internal olarak düzeltip çalışmasını aksatmadan devam ettirebilmek özellikleri arasındadır!
Wireless Şifresi Kırma
Bu Döküman Orjinal Dökümandan Herkesin anlayacağı bir seviyeye indirilerek Türkçeleştirilmiştir.Bu Dökümanda Wireless Ağlarda WEP Keyi kırmak için kullanılan en çok başarılı olmuş olan aircrack adlı program hakkında bilgi vereceğim.Bırakın aircracki Wireless Ağlarla ilgili türkçe döküman yok denecek kadar az.Bu da bu konuda bir ilk olur umarım.Herkese kolay gelsin.
Tarafımdan Yazıldığını Belirterek istenilen yerde yayınlanabilir.
1)Aircrack Nedir?
Aircracki kısaca Wireless HAcking Tool olarak adlandırabiliriz.
-airodump:802.11 Standartı için Packet Yakalama Programı
-aireplay:802.11 Standartı için Paket İnjection Programı
-aircrack:static WEP ve WPA Anahtar Cracker
2-)Aircracki Nerden İndirebiliriz.
Offical sitesi dışında aşağıdaki adresten indirmeniz mümkün.Aşağıdaki aircrack 2.1 Versiyonudur.
http://rapidshare.de/files/6124279/aircrack.rar.html
3-)Static bir WEP Key Nasıl Kırılır?
Temel fikir airodump programı ile olabildiğince fazla şifrelenmiş paket yakalanır.(capture encrypted traffic).Bu şekilde yeterli sayıda IV(Initialization Vector) biriktirildikten sonra,aircrack yardımıyla capture edilen dosyayı kırarak WEP key elde edilir.
4-)WEP Key kırmak için ne kadar IVs gerekir?
Gerekli IVs'ler WEP key e ve şansınıza bağlı olarak değişir.Yani 40-bitlik bir WEP keyi kırmak için 300.000 IVs yeterken 104-bit bir WEP key için 1.000.000 IVs gerekebilir.Eğer şansınız yoksa daha da fazlası.WEP key uzunlugunun yani kaç bit oldugunu airodump veya benzeri bir programla öğrenmek mümkün değildir.Ama Türkiye için konuşacak olursak 64 bit ten fazla bulmak neredeyse imkansız.Çünkü kimse ağını korumuyor bile.
5-)Hiç IVs Capture edemiyorum,Neden?
Bunun nedenleri
-Access Pointten çok uzakta olabilirsiniz.
-Ağ üzerinde hiç bir hareket(traffic) olmayabilir.
-G traffic varken siz B modunda capture yapmaya çalışıyor olabilirsiniz
-Wireless Cardınızla ilgili bir problem olabilir(yanlış frimware..)
6-)Aireplayin neden Win versiyonu yok?
PEEK driverlar(bunlardan sonra bahsedeceğim kafanız karışmasın) 802.11 paket İnjectionu desteklemiyor.Ama bunu üzerinde bazı çalışmalar var.
7-)Card Seçimi?
Aircrack bütün wireless kartlar ile çalışmıyor.Bazı chipsetler ile uyum içinde çalışıyor.Bu yüzden alacağınız kartı iyi bir şekilde araştırmanız gerekmektedir.Biz bu yazıyı Windows için yazdığımızdan win altında çalışan card sayısı az.Ama linux kullanan biriyseniz bir çok card gerekli driverlar ile kusursuzca aircrack ve airodump ile çalışmaktadır.
Chipset Win Altında Airodump Desteği Linux Altında Airodump Desteği Linux Altında Aireplay Desteği
HermesI Evet(Agere Driver ile) Evet(orinoco Driver ile ) Hayır
Prism 2/3 Hayır Evet(HostAP wlan-ng Driver ile), Evet
PrismGT Hayır Evet(Prism54 Driver ile) Evet
Atheros Evet (Atheros Driver ile) Evet(madwifi Driver ile) Evet
RTL8180 Evet(Realtek Driver ile) Evet(RTL8180-sa2400 driver ile) Evet
Aironet Evet(Cisco Driver ile) Evet (airo driver+firmware 4.25.30 Gerekli) Hayır
Ralink Hayır Evet(rt2400/rt2500/rt2570 driver ile) Evet (rt2500 için sadece)
Centrino hayır hayır hayır
Centrino Hayır Evet(ipw2200 driver) Hayır
TI (ACX100 / ACX111) Hayır Bilinmiyor Hayır
Broadcom Hayır Hayır Hayır
8-)Airodump Winodws Altında Nasıl kullanılır?
HErşeyden önce Wireless Kartınızın uyulu ve gerekli driverlarının yüklü oldugundan emin olun(Bahsedilen driverlar Kartınızın kendi driverı değil)Bunun dışında peek.dll ve peek5.sys dosyalarının airodump.exe nin bulundugu klasör ile aynı klasörde oldugundan emin olun.
-Network İnterface index Seçeniği için Wireless Cardınızın Numarsını giriniz(Ekranda yazan wireless cardınızın ilk başında)
-Interface Type yazan yere Eğer Chipset Orinoco,HermesI,Realtek ise ' o ' seçeniğini, Atheros yada Aironet ise ' a ' seçeneğini seçiniz.
-Channel Number yazan yer için Wireless Ağ Kanal numarasının yazın
-Output prefix:Örneğin prefix OuTLaWsys ise airodump OuTLaWsys.cap adında Captured Packets dosyası yaratır.
-MaC Filter kısmına da MAC adresini girin.
9-)AIRODUMP taki kelimelerin anlamları nedir?
BSSID ======> AP nin MAC Adresi
PWR ======> Sinyal Seviyesi
CH ======> Kanal No(Channel Number)
MB ======> AP tarafından desteklenen en fazla hız
ENC ======> Kullanımdaki Şifreleme Algoritması.OPN:Şifre Yok. WEP?: WEP
ESSİD ======> SSID olarakta bilinir.KAblosuz Ağın ismi.
STATİON ======> AP ile ilişkilendirilmiş MAC Adresleri için kullanılır
Xp'den İzleniyorsunuz - Casus
Sistem yönetiminin derinliklerinde çok gizli başka kullanıcı
hesapları da var:
Control Panel(denetim masası)/
Administrative Tools(yönetimsel araçlar)/
Computer Manaagement(bilgisayar yönetimi)
altında sistem yöneticileri için çok kapsamlı bir araç bulunur
ve sisteme kayıtlı tüm kullanıcı hesaplarını ayrıntılı olarak burada listelidir.
Computer Management’te ;
Local Users and Groups(yerel kullanıcılar ve gruplar)
bölümüne tıklayın, ardından Users kaydına girin.
Burada kendi oluşturduğunuz hesapların yanında Windows XP
tarafından otomatik olarak yaratılan “Support_388945A0”
adında bir hesap daha göreceksiniz,
Microsoft’a göre bu sadece OEM dağıtımı için önem taşıyor.
Gerçi bu hesap normalde iptal edilmiş durumda ve bu yüzden
pek bir tehlike arz etmiyor.
Ancak yine de, kullanıcının kendisinin oluşturmadığı ve
ne işe yaradığı şüpheli olan bir hesabın sistemdeki varlığı
rahatsız edici. Herhangi bir yazılım üreticisi (bir proğram veya sürücü gibi),
iptal edilmiş bu hesabı, örneğin müşterilerine online yardım
sunmak için etkin hale getirebilir.
Bu hesap için de standart (default) bir şifre seçilirse,
artık sisteminize girmek hiç de zor olmayacaktır,
zira giriş kapısı zaten ardına kadar açılmış olacaktır.
Bu durumdan korunma yoluysa şöyle:
Bu kullanıcı hesabını silin ve böylece sisteme olası bir açık
arka kapıyı kapatmış olun.
Windows XP’nin Home Edition sahiplerinin bu özellikten
endişelenmelerine gerek yok,
zira bu sürümde destek kullanıcısı hesabı kurulmuyor.
Bunu silmenin bir diğer yolu da şöyle :
Başlat ==> Çalıştır ==> Command
Karşınıza çıkan pencerede hiç bir işlem yapmadan
net user yazın ve enter tuşuna basın
karşınıza çıkan dosyalar içinde support_388945a0 isimli dosya vardır
işte bu dosya microsofttun casus yazılımıdır
silmek için :
net user support_388945a0 /delete
yazıp entera basın.
yukarıdaki işlemleri yaptıktan sonra net user yazıp enter yapın.
casus yazılım silinmiş olacak Saygılarımla.deneyin işinize yarar arkadaşLar.
