Yönetici Özeti
06 Kasım 2007Yönetici Özeti
Bilgisayar sistemleri, verilerin saklanması, işlenmesi, iletilmesinde çok büyük kolaylıklar sağlayan mükemmel sistemlerdir.Fakat bilgisayar kullanıcıları arasındaki kötü niyetli kişilerin bilgisayarların açıklarından yararlanarak geliştirmiş oldukları zarar verici programları ile altüst olabilmektedirler. Bu nedenle özellikle bilgisayar kullanan büyük işletmeler bilgisayar güvenlik sistemlerine ihtiyaç duymuşlardır. Bu sistemler zararlı programların gelişmesi ve çoğalmasıyla paralel bir gelişme göstermiştir. Her gün yaklaşık 2000 virüs yazılmaktadır. Güvenlik sistemi geliştiricileri bu virüsleri yok etmek ve yayılmalarını önlemek için çalışırlar.Bunları göz önünde tutarak ;
ØBilgisayar sistemlerinin en büyük ve en eski düşmanı olan virüs ,
ØVirüs programlarını geliştirenlerin (Hackerlerin) kullandıkları yöntemleri,
ØTrojanleri , hackerler tarafından nasıl kullanıldıkları,
ØEssential hacker programı,
ØNüke olayı,
ØSaldırı ve virüslerden korunma yöntemlerini / programları incelenmiştir.
Projenin Amacı ve Önemi
[IMG]file:///C:/DOCUME%7E1/Yasin/LOCALS%7E1/Temp/msohtml1/01/clip_image001.gif[/IMG]
İnternet üzerinden iletişim artık vazgeçilmez bir olay haline gelmiştir. Gelecek yıllarda tüm bilgisayarların bu devasa ağa bağlanabileceği hesaba katılırsa insanların henüz tam olarak tanıyamadıkları internet, artıları ve eksileriyle bizleri beklemektedir. Artıları elbette tartışılamayacak kadar fazladır fakat insanların fazla bilmedikleri eksileri ise neredeyse artıları kadar fazladır. Siz bilgisayarınızın başında oturarak internetin nimetlerinden faydalanırken, başka bir kullanıcı sizin bilgisayarınıza internet üzerinden girerek tahmin dahi edemeyeceğiniz zararlar verebilir. Mesela bilgisayarınızın hard diskini formatlayabilir, En tehlikeli virüsleri size bulaştırarak sisteminizin zarar görmesine sebep olabilir. Gizli zannettiğiniz şifrelerinizi alabilirler. Bunlardan daha tehlikelisi ise sizin bilgisayarınızı ya da internet giriş şifrelerinizi kullanarak suç işleyebilir ve sorumlu olarak siz aranabilirsiniz. Mesela Bursa da bir öğrenci interpol tarafından suç işlediği için Türk yetkililerine bildirilerek yakalanmıştır. Öğrencimizin suçsuz olduğu daha sonradan anlaşılmıştır. Aslında öğrencimiz sade bir internet kullanıcısıdır ve bilgisayarını kullanan kişilerin saldırısına uğramıştır. Örneklerin sayısı her geçen gün artmaktadır. Bu yasa dışı olaylar internet üzerinden ticaret , bankacılık vb. sektörlerinde gerçekleştiği zaman zararı çok büyük boyutlara ulaşabilmektedir. Buradan yola çıkarken bu projedeki amacımız bu suç olaylarına vesile olan virüs vb. programların kim tarafından nasıl yazıldığı nasıl kullanıldığı ve en önemlisi bu programlardan gerek PC lerin gerekse dev sistemlerin nasıl korunacağını araştırmak bu konu hakkında geniş bilgilere sahip olmaktır.
Genel anlamda bilgisayarda güvenlik sistemlerinin avantaj ve dezavantajları
Güvenlik sistemlerinin avantaj ve dezavantajları iki karşı gruba göre göreceli olmaktadır.Bunlar bilgisayarları ve yazılım teknolojisini ;
ØLegal
Øİllegal olarak kullananlar.
Legal olarak kullananlar açısından ; internet vb. ağlar üzerinden işlemlerini (E-ticaret , bankacılık vb.) rahat , güvenli bir şekilde gerçekleştirebilmeleri ve bu teknolojiyi kullanan şirketlerin prestijlerini korumaları açısından güvenlik sistemleri çok önemli bir yere sahiptir.
Bu sağladığı avantajlara karşın ;
§Maliyet artışı (Güvenlik programı maliyeti)
§İşlem hızındaki yavaşlama (Zaman kaybı)
§Kullanılan güvenlik programlarının kullanım ömrünün kısa olması ve çok sık güncellenme ihtiyacı doğması gibi dezavantajlara sahiptir.
Legal olarak kullananlar açısından ; güvenlik sistemleri , bu kişilerin bir takım kötü amaçlarına ulaşmalarını engelliyor. Güvenlik sistemlerini aşmak için bu kişiler daha gelişmiş teknoloji ve yazılımları kullanmaya mecbur kalıyorlar. Buna karşın geliştirdikleri virüslerden korunmak için güvenlik sistemlerinin teknolojileride gelişmekte kısacası virüler ile güvenlik sistemleri arasında tam bir danışıklı dövüş söz konusu olmakta bu da genel olarak yukarıda saydığımız dezavantajları beraberinde getirmektedir.
İÇİNDEKÄ°LER BÄ°LGÄ°SAYAR VÄ°RÃœSLERÄ°………………………………….. ………………………………………….. ……… 5 Virüslerin Genel Yapısı…………………………………….. ………………………………………….. ………….. 6 DeÄŸiÅŸik Türde Zararlı Programlar…………………………………. ………………………………………….. .. 7 Truva Atları(Trojan Horses)……………………………………. ……………………………..7 Solucanlar(Worms)…………………………… ………………………………………….. ……….7 Virüs ÇeÅŸitleri………………………………….. ………………………………………….. ………………….8 Yazılımlarına Göre Virüsler…………………………………… ………………………………..8 Resident Virüsler…………………………………… …………………………………….8 Nonresident Virüsler…………………………………… ……………………………….8 Etkilerine Göre Virüsler…………………………………… …………………………………….8 Boot Sektör Virüsleri………………………………….. ……………………………….9 Master Boot Record (MBR/Partition Table) Virüsleri……………9 Normal Boot Sektör Virüsleri………………………………….. …………9 Program (Dosya) Virüsleri………………………………….. ………………………10 COM Dosya Virüsleri………………………………….. ……………………………..10 EXE Dosya Virüsleri………………………………….. ………………………………11 Platformlara göre virüsler…………………………………… ………………………………….11 PC Virüsleri………………………………….. ………………………………………….. 11 Macintosh Virüsleri………………………………….. ………………………………..11 DiÄŸer Platformlar………………………………… ……………………………………..11 DiÄŸer Virüsler…………………………………… ………………………………………….. ……..11 BAT Dosya Virüsleri………………………………….. ………………………………11 SYS Dosya Virüsleri………………………………….. ……………………………….12 Virüslerin Adlandırılması……………………………… ………………………………………….. ……..12 Makro Virüsler…………………………………… ………………………………………….. ………………13 Word Makro Virüsleri Nedir?…………………………………….. ………………………….13 Makro Virüs Tehlikesi Nasıl BaÅŸladı?…………………………………… ………………..15 Niçin Makro Virüsler Bu Kadar Yaygındır?…………………………………. ………….16 Hacker Tarihi…………………………………….. ………………………………………….. ……………………….17
Hacker Ve Lamer……………………………………… ………………………………………….. …………………..19
Hackerlerin Kullandıkları Yöntem Ve Programlar…………………………………. ……………………..19
Trojanlar………………………………….. ………………………………………….. ………………………..19
Server’lar…………………………………. ………………………………………….. ………………20
Editör…………………………………….. ………………………………………….. ……………….20
Karşı Kullanıcıyı Hackleme…………………………………… …………………………………………21 Essential Programı…………………………………… ………………………………………….. ………….23
Exploit Programları………………………………… ………………………………………….. …………..24
NUKE………………………………………. ………………………………………….. ……………………….24
Hackerlardan korunma yöntemleri…………………………………. ………………………………….25
Firewall ve Anti Virüs Programları………………………………… ………………………………………….. .25
Firewall…………………………………… ………………………………………….. …………………………25
Antivirüs Yazılımları………………………………… ………………………………………….. ………..30
BÄ°LGÄ°SAYAR VÄ°RÃœSLERÄ° Günümüzde bilgisayarların yegane düşmanı virüslerdir. 1980′lerin ortalarında Lahor’lu (Pakistan) Basit ve Amjad Alvi, kendi yazılımlarının kopyalandığını farkettiler. Buna tepki olarak ilk bilgisayar virüsünü geliÅŸtirdiler. Bu virüs, müşterilerinin kopyaladığı her floppy disket üzerine hem kendi kopyasını hem de telif hakkı (Copyright) mesajını koyan bir programdı. Virüsler böylesine basit bir geliÅŸmeyle baÅŸladı,fakat zamanla tam bir virüs kültürü geliÅŸti. Günümüzün virüsleri tüm dünyayı birkaç saat içinde sarabiliyor, manÅŸetlere konu olabiliyor.
Bir bilgisayar virüsü, belleğe yerleşen, çalıştırılabilen programlara kendini ekleyen, yerleştiği programların yapısını değiştiren ve kendi kendini çoğaltabilen kötü amaçlı programlardır.
Teknik olarak bir bilgisayar programının virüs sayılması için kendi benzerini yapıp bunu başka programlara bulaştırması lazımdır
Virüsler bulaştıkları bilgisayarda genelde hızlı bir şekilde yayılırlar.Tıpkı grip virüsünün insan vücuduna yerleşmesi gibi, bilgisayar virüsleri de kendilerini taşıyıcı bir programa yerleştirir.Böyle virüs bulaşmış bir program bilgisayara transfer edildiğinde,bilgisayardaki diğer programlara da virüs bulaşmaya başlayacaktır.
Bilgisayar virüslerinin popüler bulaşma yollarından birisi "virüs kapmış bilgisayar programları" dır. Bu durumda, virüs kodu bir bilgisayar programına (örneğin, sık kullanılan bir ekran koruyucusuna ya da bir oyun programına) virüsü yazan (ya da yayan) kişi tarafından eklenir. Böylece, virüslü bu programları çalıştıran kullanıcıların bilgisayarları, "potansiyel olarak" virüs kapabilirler. Özellikle internet üzerinde dosya alışverişlerinin ne kadar sık kullanıldığını düşünürsek tehlikenin boyutlarını daha da iyi anlayabiliriz.
Virüslenmiş program çalıştırıldığında virüs kodu da, genellikle, bilgisayarın hafızasına yerleşir ve potansiyel olarak zararlarına başlar. Bazı virüsler, sabit diskin ya da disketlerin "boot sector" denilen ve bilgisayar her açıldığında ilk bakılan yer olan kısmına yerleşir. Bu durumda, bilgisayar her açıldığında "virüslenmiş" olarak açılır. Benzer şekilde, kendini önemli sistem dosyalarının (MSDOS ve Windows için COMMAND.COM gibi) peşine kopyalayan virüsler de vardır.
Virüs bulaşması için önceleri tek yol, floppy disketler idi. Ancak daha sonraları, gelişen bilgisayar ağları ve özellikle internet aracılığıyla da bulaşmaları olanaklı hale geldi. E-posta kullanımının yaygınlaşması ile virüsler artık çok daha hızlı yayılabilmektedirler.
Virüslerin Genel Yapısı
Virüsler baslıca üç bölümden meydana gelmişlerdir.Bunlar sırası ile kopyalama bölümü, gizleyici ve etki bölümüdür.
Kopyalama bölümü ile kendisini çalıştırılabilir dosyalara ilave eder.
Gizleyici bölümü, kendini gizleme görevi yapar. Daha ziyade anti-virüs programlarının gözünden kaçmak ve anti-virüs programını yanıltmak için oluşturulmuştur.
Etki bölümü ile asıl işlem yerine getirilir.Asıl işlemin yaptığı zararlı etkilere; verileri karıştırmak, programın bir kısmını silmek, disk veya disketin çalışmasını engellemek örnek olarak verilebilir.
Virüsler kopyalama bölümü ile bulaşmalarına rağmen bulaştıkları dosyalar farklı olabilir.Virüsler genel olarak EXE, COM, OVL, OBJ, LIB uzantılı dosyalara kendilerini kopyalarlar. Virüs bulaştıktan sonra gizleyici bölümü, program her çalıştığında aktif duruma geçer ve virüs kendini gizlemeye çalışır.Normal çalışma süresince etki bölümü pasif durumdadır. Şartlar uygun olduğunda ortaya çıkar ve etkisini gösterir. Bu bölümün şartlarının uygunlaşması; bir tarih olabilir (Örneğin CIH virüsü) , ülke kodu olabilir, kopyalama işlemi olabilir, herhangi bir verinin girilmesi olabilir. Virüs yazan bir insan için mantık geliştirme bölümü bu bölümdür. Virüs yazmanın ayrıcalığı da bu bölümde gizlidir. Çünkü diğer bölümler hemen hemen aynıdır. Yukarıda uzantıları verilmiş olan dosyaların dışında ayrıca bir program için yazılmış özel virüsler de vardır.
Virüsler Neler Yapabilir? Bilgisayar içi yapısı tamamen programlamaya dayılıdır. Hangi donananımın nasıl ve ne şekilde çalışacağını programlanma şekli belirler. Virüs de bir program türü olduğuna göre; bilgisayarda programlamaya dayalı her şeyi yapabilirler. Yapabileceklerini sıralayacak olursak;
·Bilginiz dışında bilgisayarınızın denetimini ele geçirir.
·Bilgisayarınızın garip davranmasına neden olur, örneğin, çeşitli sesler çıkarır veya can sıkıcı iletiler görüntüler.
·Word ve Excel belgelerine bulaşan ve zarar veren makrolara gizlenirler. (Bunlara makro virüsleri denir.)
·Dosyalarınızda ciddi zararlara neden olurlar. Virüsler, verileri bozabilir, dosyaları silebilir, hatta sabit diskinizi tamamıyla silebilir.
·Zarar vermek için önceden tanımlanan tetikleme tarihine kadar (örneğin, 13. Cuma) virüsler etkin olmazlar.
·Donanımlara zarar verebilir.
En iyi huylu virüsler (görünürde zarar vermeyen virüsler) bile önemli zararlar verirler : sabit disk ve/veya bellekte yer kaplarlar, CPU zamanını harcarlar; ortaya çıkarılmaları ve temizlenmeleri için önemli miktarda zaman ve para harcanır.
Değişik Türde Zararlı Programlar
Virüslerle ile zaman zaman karşılaştırılan fakat virüslerden farklı özellikler sahip başka zararlı programlar da vardır. Truva Atları (Trojan Horses) ve Solucanlar (Worms) örnek verilebilir.
Truva Atları(Trojan Horses)
Virüslerin bir alt sınıfları, Truva Atı olarak bilinen, virüslerdir. Esasında Truva Atı teknik olarak bir virüs deÄŸildir. Truva Atı, ki bu adı tarihte Truva SavaÅŸları olarak bilinen ve Yunanların uyguladıkları ve kazandıkları bir taktikten alır (Truvalılar’ı yenemeyen Yunanlılar tahtadan dev bir at yaparak bunu savaÅŸ tazminatı olarak Truvalılar’a verirler ve kentin kuÅŸatmasını kaldırırlar. Truva atı denilen atın içine gizlenmiÅŸ Yunanlı askerler gece olduÄŸunda ÅŸehrin kapılarını açarlar ve eÄŸlenceye dalmış olan Truvalılar’ı öldürürler. Günümüzde de aynı iÅŸi programcılar yapıyor. Tahta at yerine, bilgisayarlarımıza çeÅŸitli programlar yolluyorlar. Bir tür programdır. Bu program aslında kullanışlı ve cazip gelen ÅŸeyler vaat eder yada yapıyor izlenimi verir (oyunlar veya kullanışlı kaçak dosyalar arkasında gelebilir). Fakat içinde kötü niyetli ÅŸeyler ihtiva eder ve sinsice bunları arka tarafta kullanıcının haberi olmadan uygular (Bilgisayardaki ÅŸifreleri çalmak gibi). Truva Atları asla baÅŸka programlara bulaÅŸmazlar.
Çoğu Truva Atı, oturumu açma kimliği ve parolasını çalmak ve sonra da onları ödeme yaparken kullanılan hesabı kullanabilecek bir başkasına e-posta ile göndermek üzere tasarlanmıştır.Bazı Truva Atları da müstehcen iletiler görüntüler veya sabit sürücünün içeriğini siler. Örneğin güvenli görünen veya ücretsiz çevrimiçi bağlanma gibi öneriler sunan bir programı yüklerken Truva Atları alınabilir. Program bir kere yüklendiğinde ve çalıştırıldığında, kötü amaçlı kodlar çalışmaya başlar. Truva Atları ile virüsler arasındaki fark, Truva Atlarının kendiliklerinden bulaşmamaları veya yinelenmemeleridir. Yalnızca kasıtlı olarak; e-posta ile ,disket yolu ile veya bir bilgisayara doğrudan yüklenerek yayılabilirler. Bunun anlamı, virüsten farklı olarak, yalnızca bir kere belli Truva Atı tarafından etkilenilir.
Solucanlar(Worms)
Genellikle ağ bağlantılarını kullanarak yayılan, solucan olarak tanımlanan kodlar, yayılmak için her zaman taşıyıcı bir programa ihtiyaç duyarlar.Solucanlar dosyadan dosyaya yayılma yerine tüm sisteme zarar vererek bilgisayardan bilgisayara yayılırlar. Solucanlar, e-postayı kullanarak ağ üzerindeki bir bilgisayardan diğer bilgisayarlara kendilerini kopyalarlar. Solucanlar, çoğalmak için insan müdahalesine gereksinim duymadıklarından bilgisayar virüslerinden daha hızlı yayılabilirler.
Virüs Çeşitleri
·Yazılımlarına Göre Virüsler
Virusleri yazılım yöntemlerine göre iki grubu ayrılırlar. Buna göre yazılımlarına göre virüs çeşitleri :
oResident Virüsler
Bu virüsler adından da anlaşılacağı gibi yerleşik (resident) olarak her an bellekte kalan ve her an aktif olan virüslerdir.Yazılımı biraz daha karışık ve detaylıdır.Gizleyici bölümü daha fazla emek isteyen virüslerdir.Örneğin virüs bulaşmış bir dosyanın uzunluğu değişmesine rağmen , gizleyici bölüm bu dosyanın orijinal uzunluğunu vererek kullanıcıyı yanıltır.Genellikle INT 20h,21h,41h gibi kesme sinyalleri sırasında dosyalara bulaşırlar.
Bellekte bulunup bulunmadıkları çok çeşitli yöntemlerle ve anti virüs programları ile anlaşılabilir.Tespit edilip edilememesi virüsün kalitesine bağlıdır.Kalitesi iyi olmayan bir virüs bellek hartalarını veren programlarla rahatlıkla tespit edilebilir.
oNonresident Virüsler
Bu tip virüsler bellekte yerleşik kalmayan virüslerdir.Ancak bulaştıkları program çalıştığında aktif hale geçerler.Aktif hale geçer geçmez kendilerini bir veya daha fazla dosyaya kopyalarlar.dosya tipi virüs ise bulaştıktan sonra kontrolü asıl programa bırakır. Eğer boot virüs ise bulaştıktan sonra kontrolü işletim sistemine bırakır.Resident virüslere oranla daha iyi ve sinsi bir şekilde korunabilirler.Çünkü bulaştığı program çalıştığı esnada ve kısa bir sürede tahribatını yapıp geri çekilirler.Bellek haritaları ile tespit etmek oldukça zordur.
Nonresident olarak yazılmış boot sektör virüsü pek etkili değildir.Çünkü bir disketten diğerine bulaşabilmesi için bellekte sürekli aktif olması gerekir.Bu yüzden bu tip yazılan virüsler genellikle dosya virüsleridir.
·Etkilerine Göre Virüsler
Etkilerine göre virüsleri iki ana başlık altında toplamak mümkündür.Bunlar:
1-Boot Sektör Virüsleri :
A-Master Boot Record
B-Normal Boot Sektör Virüsleri
2-Program (Dosya) Virüsleri:
A-COM dosya Virüsleri
B-EXE dosya Virüsleri
C-Diğer Virüsler
oBoot Sektör Virüsleri
§Master Boot Record (MBR/Partition Table) Virüsleri :
Boot sektör virüsleri hard diskin veya floppy disketin ilk sektörlerine bulaşır.Dosya viruslerinden farklılıkları dosya çalıştırılmadan aktif hale geçmeleridir. BilindiÄŸi gibi bilgisayar açıldığı zaman ilk devreye giren ünitesi BIOS’ tur.BIOS harddisk’in boot sektöründen geçerli partition table(reverse Word format) imzasını arar.EÄŸer bu imzayı bulabilirse bu bloktaki bilgileri RAM belleÄŸe okur.Virüs kendisini bu imza yerine veya okunacak bloÄŸa yazdığı taktirde problem burada ortaya çıkar.BIOS’un okuması sırasında partition imzasını gizleyebilir.BIOS görevini tamamlayamayacağı için , bilgisayar açılmaz.BloÄŸun okunması sırasında virüs yazıcısının belirlediÄŸi bir kesme çağırılabilir.Bu durumda bilgisayarın açılması kesintiye uÄŸrar.Blok okunup, Ram belleÄŸe aktarıldıktan sonra ,virüsün etki kısmı çalışarak bilgisayarı reset edebilir veya bir jump komutu ile okunması gerekli olan bazı dosyaları okutturmadan sistemin yanlış yüklenmesini saÄŸlayabilir.Ä°ÅŸte bu türlü iÅŸlemler virüs yazmanın mantığını oluÅŸturur.
§Normal Boot Sektör Virüsleri :
Floppy disketlerinde partition table bulunmaz.Aslında harddiskteki partition table’de boot sektördür.Fakat birden fazla iÅŸletim sistemi yükleyebilmek için bölümlendirilmiÅŸlerdir.Yukarıda hard disk için açıklanan imzalara benzer.Ä°mzalar disketin sıfırıncı sektöründe de vardır.Virüs bilgisayarın hard diskten açılması sırasında yaptığı iÅŸlemleri floppy disketten açılma yapıldığında da yapar.
İster hard diskten , İster floppy disketten boot yapılsın daha işletim sistemi yüklenmeden virüs yüklenmiş olur.İşletim sisteminden önce yüklenmesinden dolayı işletim sistemini istediği gibi yönetebilir.Yani kaleyi içten kuşatmıştır ve savunmayı yenmiştir.
Virüs kendisini partition sektöre veya boot sektöre yazabileceÄŸi gibi FAT’a (dosya yerleÅŸim tablosuna)veya partition bölümleri arasına da yazabilir.Buradaki yapacağı iÅŸlemlere dosya yerleÅŸim tablosunu bozmak aranılan kütüğü gizlemek gibi örnekler verilebilir.
Her iki çeşit virüsünde çalışma algoritmasının aşağıdaki gibi olduğu söylenebilir.
1-Belirtilen yere bulaşmak için kendini gizle
2-Orijinal boot/MBR sektörünü kontrol altında tut
3-Kendi virüs imzanı ara ve daha önce bulaşıp bulaşmadığını denetle
4-Bulaşılmış ise hareketsiz kal ve boot sektörü terk et
5-Bulaşılmamış ise Kendi kodlarını belirtilen şartlarda boot sektöre yaz
6-Duruma göre hareket et.Gerekiyorsa Resident olarak yerini al
7-Birinci basamaktan itibaren görevine devam et
oProgram (Dosya) Virüsleri
Program virüsleri çalıştırılabilir dosyalara bulaşabilen virüslerdir.Programların tanımlanan yerlerine kendilerini kaydederek onlarla beraber çalışırlar.Bu yüzden programın çalıştığı her bilgisayara kolayca bulaşırlar.
Program virüslerinin DOS’un kullanılma özelliklerine göre birkaç tipi vardır.Hangi tip olursa olsun çalışma algoritması hemen hemen aynıdır.DeÄŸiÅŸik olan kısımları ; gizleyici ve bomba bölümleridir.Kopyalama bölümleri genellikle aynı mantığa dayanır.
oCOM Dosya Virüsleri :
Daha önceki bölümlerde açıklandığı gibi DOS ortamından uzantıları COM ,EXE ve BAT olan dosyalar doÄŸrudan çalıştırılabilirler.Bu tur virüslerin yazılımında temel mantık budur. COM uzantılı dosyalar 64 KB ‘lık bir segment üzerindedir.COM uzantılı bir program çalıştırıldığı zaman ,DOS tüm bellek alnını bu dosyanın kontrolüne birakır.COM dosya virüsü en kolay ve en hızla yayılan bir virüstür.Virüsün kopyalama kısmı , virüslü bir dosyadan diÄŸerine kopyalama yapar.Kendisine zarar gelmemesi için ,com dosyanın baÅŸlangıcını saklar ve kendisinin bir kısmını buraya , bir kısmını da dosyanın sonuna yazar.Virüs yazarının tanımladığı iÅŸlemleri ise program çalıştığı sürece yerine getirir.
oEXE Dosya Virüsleri :
EXE dosya virüsleri COM dosya virüslerinden biraz daha farklıdır.EXE dosya virüsü COM dosya virüsü gibi kendisini dosyanın başlangıcına yazmaz.EXE programın başlığında ufak tefek değişiklikler yapmak onun için yeterlidir.Kendisini büyük oranla programın en sonuna yazar.EXE bir dosyaya virüsün kendisini yazması COM dosyaya oranla daha zordur.Genelde minimum bellek ihtiyacını yükselterek etkilerini gösterirler.
·Platformlara göre virüsler
oPC Virüsleri
PC virüsleri kiÅŸisel bilgisayarlar(PC’ler) ve DOS ortamı için yazılmış virüslerdir.Bu tür virüsler daha çok DOS ortamında çalışmaları için yapılmalarına raÄŸmen Windows 95 Windows 98,Windows ME,Windows NT ve OS/2 iÅŸletim sistemlerinde de çalışabilmektedirler.
oMacintosh Virüsleri
Macintosh virüsleri PC virüsleri kadar problemler çıkarmazlar. Macintosh iÅŸletim sisteminde çalışabilecek virüs sayısı gerçekten çok azdır.Bu tür virüsler daha çok okullardan temin edilmektedir. Microsoft ürünü olan iÅŸletim sistemlerinin(DOS, Windows…) yaygınlığı göz önüne alındığında,Macintosh iÅŸletim sistemi için yazılmış virüslerin azlığı doÄŸaldır.
·Diğer Platformlar
Virüsler hemen hemen her tür bilgisayarda bulunabilirler.Örneğin;gelişmiş hesap makinaları,eskiden var olan Commodore 64 ve Unix bilgisayarları gibi sistemler.
·Diğer Virüsler
Yukarıda bahsedilen virüslerin dışında bilinen BAT ve SYS dosya virüslerde vardır.Bunlara da kısaca değinelim.
oBAT Dosya Virüsleri
DOS ortamından çalıştırılan 3. dosya ,BAT uzantılı dosyalardır.Bu dosyalar binary komut düzeninde olmayıp ASCII komut düzenindedir.
Önceki konulardan hatırlanacağı gibi uzantısı BAT olan dosyalar toplu iÅŸlem dosyalarıdır ve kapsamlarında birçok toplu iÅŸlem komutlarını içerirler.BAT dosya virüsleri toplu iÅŸlem dosyası içerisinde kullanılan emirleri birer COM uzantılı dosyaya çevirirler.Bu durumda sanki bir COM uzantılı dosya çaÄŸrılmış gibi çalıştırılmak istenir.ÖrneÄŸin “CALL” emri karşısında CPU ne yapacağına karar veremediÄŸi için sistem ya kilitlenir veya bir interrupt ile kesintiye uÄŸrar.Kullanıcıyı hayret içinde bırakan ilginç virüs tipleridir.
Bazı BAT dosya virüsleri DIR komutunun işlevlerinden yararlanır.DIR komutu çalıştırıldığında , değişik isimli yeni bir dosya oluştururlar.Oluşturulan bu dosya ile debug programını çalıştırır.Kendisini çalıştırmakta olan BAT uzantılı dosyaya adapte edecek yeni program yazar.BAT uzantılı dosya çalıştırıldığında bu dosya içerisinde kendi dosyasını da çalıştırır.
oSYS Dosya Virüsleri
SYS virüsleri oldukça zor yazılan virüslerdendir.SYS dosyalarının başlığını değiştirerek kendilerini kopyalarlar.Resident olarak anti-virüslerden önce yüklenirler.Bu yüzden anti-virüs programı tarafından görülemezler.
Genellikle kurulabilir ünite sürücülerinin işlevlerini engelleyecek şekilde görev yaparlar.Bellek haritasını veren programlarla yakalanması oldukça zordur.
Virüslerin Adlandırılması
Bir virüs adı üç kısımdan oluşur : önek (prefix), ad ve sonek (suffix). Norton Anti-virüs yazılımı virüsleri bu şekilde adlandırmaktadır.
·Önek, virüsün çoğaldığı platformu veya virüs türünü belirtir. DOS virüsleri genelde önek içermezler.
·Ad, virüsün aile adıdır.
·Sonek her zaman olmayabilir. Sonekler aynı ailenin varyantlarını ayırdetmek için kullanılır. Genellikle virüsün boyutunu belirten bir numara ya da bir harftir.
Bu üçü şu biçimde yazılır : Önek.Ad.Sonek.
Örnek olarak WM.Cap.A Cap ailesinin A varyantıdır. WM ise bir Word Makro virüsü olduğunu belirtir. Şu önekler öngörülmüştür :
Önekler
WM
Word6.0 and Word95 (Word7.0) altında çoğalan Word Makro virüsleri. Word97 (Word8.0) altında da çoğalabilirler ancak aslen Word97 virüsü değildirler
W97M
Word97 Makro virüsleri. Bunlar Word97 için yazılmışlardır ve sadece Word97 altında çoğalırlar.
XM
Excel5.0 ve Excel95 için yazılan Excel Makro virüsleri. Bu virüsler Excel97 içinde de çoğalabilirler.
X97M
Excel97 için yazılan Excel Makro virüsleri. Bu virüsler Excel5.0 ve Excel95′de de yayılabilirler.
XF
Excel Formula virüsleri. Daha yeni Excel belgeleri içine gömülü (embedded) eski Excel4.0 gömülü çalışma sayfalarını kullanırlar.
AM
Access95 için yazılan Access Makro virüsleri. A97M: Access97 içinde çoğalabilen Access Makro virüsleri.
W95
Windows95 iÅŸletim sistemindeki dosyalara bulaÅŸan Windows95 virüsleri. Windows95 virüsleri çoÄŸunlukla Windows98′i de etkilerler.
Win
Windows3.x işletim sistemi altındaki dosyalara bulaşan Windows3.x virüsleri.
W32
Tüm 32-bit Windows platformlarında etkili 32-bit Windows virüsleri.
WNT
Windows NT işletim sistemlerinde etkili 32-bit Windows virüsleri
HLLC
High Level Language Companion virus. Bunlar genellikle yayılmak için ek bir dosya yaratan DOS virüsleridir.
HLLP
High Level Language Parisitic virus. Bunlar genellikle kendilerini bir başka dosyaya iliştiren DOS virüsleridir.
HLLO
High Level Language Overwriting virus. Bunlar genellikle host (ev sahibi) dosyaların üzerine kendi bulaşıcı kodlarını yazan DOS virüsleridir.
Trojan/Troj
Bunlara virüs değil, Trojan Horse (Truva Atı) denir. Kendilerini faydalı programlarmış gibi gösterirler ancak zarar verici programlardır. Çoğalmazlar.
VBS
Visual Basic Script programlama diliyle yazılan virüslerdir.
AOL
America Online (Amerika Birleşik Devletlerinde bir internet servis sağlayıcı şirket) ortamına özgü Trojanlardır ve genellikle AOL parola bilgilerini çalmak için yazılmışlardır.
PWSTEAL
Parola çalan Trojan programlardır
Java
JAVA programlama diliyle yazılan virüsler.
MAKRO VÄ°RÃœSLER
Word Makro Virüsleri Nedir?
Makrolar, kullanıcıların işlerini kolaylaştırmanın yanında,kullanıcının bilgisi dışında yazılmış makrolarda kullanıcıların bilgisayarlarına büyük zararlar verebilir.
Kendini kopyalama özelliÄŸi olan ve kullanıcının izni olmadan çeÅŸitli görevleri yerine getiren makrolara “Makro Virüs” denilmektedir.Makro virüsler geniÅŸ uygulama alanına sahip Word, Excel,Access,PowerPoint,Project,Corel Draw…vs. gibi programların içinde bulunabilir.
Makro Virüslerin yapabileceği görevler,makronun yazıldığı programlama dilinin özellikleriyle sınırlandırılmıştır.Programlama dili,makronun yenilenmesine ,yayılmasına ve bilgisayarı etkilemesine olanak sağlar.En çok kullanılan makro dili olan Visual Basic for Applications (VBA) virüslerin yazımı için geniş özellikler sağlar.VBA gibi makro dillerinin gelişimiyle birlikte Makro Virüslerinde etkinliklerinin artacağı unutulmaması gereken bir gerçektir.Daha komplike bir makro diliyle yazılmış Makro virüsler çok daha zararlı sonuçlar ortaya çıkarabilirler.Bu gelişmiş makro dillerinin uygulamalarda daha sık kullanılmaya başlanmasıyla makro virüsler için olan potansiyel artmıştır.Geçmişte virüs yazan kişiler,virüs yazmak için makro dillerini pek tercih etmemişlerdir.Muhtemelen bunun nedeni ise geleneksel şekilde makro yazımının pek ilgi çekici olmaması yada virüs yazan kişilerin makro dillerindeki potansiyeli keşf edememelerindendir.
Makro virüslerin ortaya çıkmasından önce ,bilgisayar virüsleri çalıştıkları platformlara mahsuslar idi.ÖrneÄŸin; PC virüslerinin sadece PC’lerde ,Unix virüslerinin sadece Unix makinalarında çalışması gibi.BilindiÄŸi gibi programlar,bilgisayarın kullandığı iÅŸletim sistemine göre deÄŸiÅŸiklik gösterir.Öyle ki,Microsoft Office gibi,hem Macintosh’ larda hem de PC’lerde çalışabilen uygulamalar bile,temelde ,iÅŸletim sisteminden dolayı deÄŸiÅŸiklikler gösterir (Office’in Macintosh versiyonu Windows95 iÅŸletim sistemi ile çalışan bir bilgisayarda çalışmaz.).Word’ün yeni versiyonlarında kullanılan VBA’ya ekstra özellikler eklenerek oluÅŸturulan WordBasic makro dili uygulamada özel,fakat platformda özel deÄŸildir,yani baÅŸka bir deyiÅŸle platformdan bağımsızdır.Bunun anlamı;virüs yazan kiÅŸilerin hem PC’lerde hem de Macintosh’larda çalışabilen virüsler yazabilecek durumda olmalarıdır.
Makro Virüs yazmak için kullanılan tek program MS Word’ün makro dili, WordBasic deÄŸildir.MS Excel ve Lotus Ami Pro gibi programlar içinde yazılmış makro virüsler mevcuttur.Fakat Word’ün kullanım alanının diÄŸer programlara göre daha yaygın olmasından dolayı,Word ile birlikte aktif olan makro virüsler bir hayli fazladır.
Makrolar,dokümanlar içlerinde metin ve metin formatı bilgileri taşımaktan ziyade,grafik dosyaları,video dosyaları gibi ÅŸeyleri “taşıyıcı” bir hale gelmiÅŸlerdir.Eskiden WordPerfect’te yazılmış olan makrolar,WordPerfect’in dışında,dokümandan bağımsız bir DOS dosyası olarak kayd edilmekteydi.Word’ün yeni versiyonlarında ise makro,Word dokümanının içine yerleÅŸtirilmektedir.Bunun sonucu olarak Word dokümanı,makro virüsün bilgisayardan bilgisayara yayılmasında aracılık etmektedir.
Peki virüs nasıl bir dokümandan diğerine geçebiliyor?Buna cevap olarak Normal Şablonu üzerinden diyebiliriz.Normal Şablonu, otomatik makroların ve Word biçimlerinin kodlarının bulunduğu belgedir.Normal Şablonda bulunan makrolar,güvenlik düzeyi sorgulanmadan,tüm dokümanlar için gerçeklenir.
Biçimler yada stiller ,emirleri formatlama koleksiyonlarına verilen isimlerdir.Mesela bölüm baÅŸlıklarındaki,yazı biçimini, büyüklüğünü ve özelliklerini belirlemek için “Bölüm BaÅŸlığı” adlı bir stil oluÅŸturulabilir (Arial,24pt,Bold gibi) ve “Bölüm BaÅŸlığı” adlı stil uygun menüden seçildiÄŸinde,yazılan metne stil otomatik olarak uygulanmış olacaktır.EÄŸer bu stili,yazılan tüm dokümanlarda kullanmak isteniliyorsa ,stilin adını “Normal” olarak deÄŸiÅŸtirmek yeterli olacaktır. ”Normal” stili Word’ün baÅŸlangıçta dokümanlar için varsaydığı stildir.Bu varsayılan stil Normal.dot (Normal Åžablonu) adında bir dosyada saklar. Normal.dot dosyası da diÄŸer dokümanlar gibi makro virüs taşıyabilir.Bütün yeni oluÅŸturulan dokümanların Normal.dot dosyasının üzerine kurulmasından beri,eÄŸer Normal.dot virüslenmiÅŸse,daha sonra oluÅŸturulan bütün yeni dokümanlarında virüslendiÄŸi görülebilir.
Makro Virüs Tehlikesi Nasıl Başladı?
Makro Virüs terimi beş yıldan daha uzun bir süredir kullanılmaktadır.Makro virüs yayılımına karşı geliştirilen pek çok güvenlik önlemine rağmen hâlâ makro virüsler milyonlarca bilgisayar kullanıcısında korku yaratmaya devam etmektedirler.
Ä°lk MS Word makro virüsü ”Concept” AÄŸustos 1995’te,Windows 95 ve MS Office’in yeni versiyonunun çıkması ile birlikte ortaya çıktı.Birkaç gün içinde bu virüs, dünya çapında on binlerce bilgisayara bulaÅŸarak büyük bir salgına yol açtı ve tüm dünyada büyük bir yankı uyandırdı.Burada belirtilmesi gereken bir noktada,anti-virüs ÅŸirketlerinin bu yeni virüs çeÅŸidine hazır olmamalarıydı.Bu yüzden anti-virüs ÅŸirketleri, anti virüs yazılım motorlarını deÄŸiÅŸtirmek yada yeni anti-virüs motorları üretmek zorunda kalmışlardır.
Ä°lk MS Excel makro virüsü olan “Laroux” ’da Temmuz 1996’da ortaya çıkmıştır.Bu virüs aynı anda ,dünyanın farklı bölgelerinde bulunan (Güney Afrika ve Alaska) iki petrol ÅŸirketinin faaliyetlerini felce uÄŸratmıştır.
Mart 1997’ye meÅŸhur Melissa virüsünün yazarı David Smith’in yazdığı “ShareFun” adlı virüs damgasını vurmuÅŸtur.
Mart 1998’de,baÅŸka bir Office uygulaması olan MS Access , “AccessiV” adında bir virüse karşı kurban durumuna düşmüştür.yaklaşık bir yıl sonrada MS PowerPoint makro virüsü olan “Attach” adlı virüsün saldırıları baÅŸlamıştır.
1999’da makro virüslerin sayısı ,virüslerin baÅŸka programlarda da çalışmaya baÅŸlamasıyla hızla artmıştır.Mayıs ayında Corel Draw grafik editörü makro virüsü olan “Gala” ve Ekim ayının sonuna doÄŸru ortaya çıkan MS Project görev zamanlayıcısı makro virüsü olan “The Corner” virüsü ve Mart ayının sonunda çıkan “Melissa” virüsü 1999 yılında çıkan virüslere örneklerdir.
1999’da ortaya çıkan ve “Multi-platform makro virüsleri” olarak tanımlanan çeÅŸitli virüsleri de görmekteyiz.Bu virüslerin özelliÄŸi,birkaç Office uygulamasında birden çalışabilmeleridir.Aynı anda Word,Excel ve PowerPoint dosyalarının üçünü birden etkileyebilen,bilinen ilk virüs olan “Triplicate” bu tür virüslere örnek olarak gösterilebilir.Bu tür virüsler bilinen virüsler içinde en komplike olanlarıdır.Bu virüslerin kullandığı Stealth tekniÄŸi (virüsü,doküman içinde görünmez yapar) ve Polymorphism (virüsün zaman zaman kodunu deÄŸiÅŸtirmesi,ÅŸifrelemesi) nedeni ile tespit etmek ve yok etmek çok zordur.
2000 Love Bug (diğer adıyla LoveLetter) bugüne kadarki en başarılı e-posta virüsü oldu. Palm işletim sistemi için de ilk virüs boy gösterdi, ancak hiçbir kullanıcıya bulaşmadı.
Niçin Makro Virüsler Bu Kadar Yaygındır?
GeçmiÅŸ yıllar boyunca makro virüsler listelerde sürekli zirvede kalmışlardır.Uluslar arası Bilgisayar GüvenliÄŸi BirliÄŸi’ne göre makro virüsler,virüsler içinde üçte ikilik bir yere sahiptirler.Kapersky Laboratuarlarına göre de bu oran yaklaşık olarak %55 civarındadır.Bu oran bile makro virüslerin yaygınlığını göstermeye yeterlidir.Makro virüslerin bu kadar yaygın olması ÅŸu faktörlere baÄŸlanabilir.Makro virüslere karşı savunmasız olan Office uygulamaları,kullanıcılar arasında son derece yaygın olarak kullanılmaktadır.Günümüzde,tüm bilgisayar kullanıcıları Office yada Office’e benzer uygulamaları günlük çalışmalarında kullanmaktadırlar.Bu uygulamalar için geliÅŸtirilmiÅŸ anti-virüs sistemlerinin saÄŸladığı güvenlik derecesi çok düşüktür.Microsoft uzmanlarının MS Office 2000’de güvenlik probleminin çözüleceÄŸini söylemelerine raÄŸmen ,Office uygulamaları geçmiÅŸte olduÄŸu gibi makro virüslere karşı savunmasız kalmıştır.Bir makro virüs yazmak çok basittir.Mesela MS Word için bir virüs yazmak isteyen birinin ihtiyacı olan sadece VBA Programlama dilinin temellerini öğrenmektir.DiÄŸer programlama dilleri ile karşılaÅŸtırıldığında VBA,içlerinde en basit ve öğrenilmesi en kolay olanıdır.Aynı zamanda VBA sahip olduÄŸu özellikler ile de virüs yazan kiÅŸiye bilgisayardaki bilgilere zarar verme ve bilgisayarı uzun süre kullanılmaz hale getirme imkanı verir.·ÇoÄŸu Office uygulaması MS Outlook yada MS Exchange gibi posta programlarıyla uyumlu olarak çalışmaktadır.Bu,makro virüslere posta programlarına eriÅŸme imkanı saÄŸlar.Böylece makro virüs kendini çok hızlı bir ÅŸekilde milyonlarca bilgisayara yayabilir.
·Bilgisayar kullanıcıları arasında en çok paylaşılan dosya türleri Word dokümanlarıdır.İnsanlar,arkadaşları ve tanıdıkları ile hiç şüphe duymadan dokümanları değiş tokuş ettikleri için makro virüsler şüphe duyulmadan çalıştırılabilmektedir.[IMG]file:///C:/DOCUME%7E1/Yasin/LOCALS%7E1/Temp/msohtml1/01/clip_image002.gif[/IMG]
[IMG]file:///C:/DOCUME%7E1/Yasin/LOCALS%7E1/Temp/msohtml1/01/clip_image003.gif[/IMG]
HACKER TARÄ°HÄ° 1969 Öncesi. Önce bir telefon ÅŸirketi vardı Bell Telephone, Ve zamane hacker’ları Tabii, 1878’de onlara hacker denmiyordu henüz. Telefon santrallerine operatör olarak alınmış, onun telefonunu buna, bununkini ona baÄŸlayan ÅŸakacı birkaç genç idi.
ABD’nin dahiler çıkaran ünlü üniversitesi MIT’de (Massachusetts Institute of Technology) bilgisayarlar kullanılmaya baÅŸlandığında, bazı öğrenci ve asistanlar, bu makinelerin nasıl çalıştığını çok merak ettiler, bu yeni teknoloji hakkında ne varsa öğrenmeye çalıştılar. O günlerde bilgisayarlar, ısı kontrollü cam odalarda kilitli olan devasa makinelerdi.
Bu ağır metal yığınlarını çalıştırmak binlerce dolara mal oluyordu. Programcılar bu dinozorları pek de kolay kullanamıyordu. Bu yüzden, zeki olanlar, hesaplama iÅŸlemlerini daha çabuk yapabilmek için “hack” dedikleri programlama kısa yolları yarattılar. Bazen bu kısa yollar orijinal programdan daha iyi tasarlanmış oluyordu.
Belki de bütün zamanların en iyi hack’lerinden biri, 1969’da, Bell laboratuarlarındaki iki çalışanın, Dennis Ritchie ve Ken Thompson’un bilgisayarların artık açık kurallarla çalıştırılması gerektiÄŸini düşünmesiyle yaratıldı. Ä°kili, geliÅŸtirdikleri bu yeni standart iÅŸletim sistemine UNIX ismini verdiler.
1970-1979. 1970’lerde siber cephe alabildiÄŸine açıldı. Bu iÅŸle ilgilenen herkes, kablolarla baÄŸlanmış bir dünyanın nasıl çalıştığını araÅŸtırmaya ve bulmaya çalışıyordu. 1971’de, John Draper isimli bir Vietnam gazisi, Cap’n’Crunch (mısır gevreÄŸi markası) kutusundan çıkan promosyon düdüklerin 2600 MHz tonda ses çıkarttığını fark etti. Bedava telefon görüşmesi yapmak için düdüğü telefonun alıcısına üflemek yeterliydi.
O zamanın hacker’ları, “phreaking” adı verilen bu tür yöntemlerin kimseyi incitmediÄŸini, telefon hizmetinin sınırsız bir kaynak olduÄŸunu ileri sürüyorlardı. Hackerlar dünyasında tek eksik sanal bir kulüp binası idi. Dünyanın en iyi hacker’ları nasıl tanışacaklardı 1978 de, Chicago’lu iki genç, Randy Seuss ve Ward Christiansen, ilk kiÅŸisel BBS’i (Bulletin Board System – Yılan Tahtası Sistemi) kurdular. BBS’ler günümüzde halen çalışıyor.
1980-1986. BildiÄŸiniz gibi IBM firması, 1981’de bağımsız iÅŸlemcisi, yazılımı, belleÄŸi ve depolama birimleri olan yeni bir bilgisayarı duyurdu. Bu modele PC (Personal Computer-KiÅŸisel bilgisayar) adını verdiler. Bu makinelerden biriyle istediÄŸinizi yapabilirdiniz. Gençlerin Chevrolet’lerini bırakıp PC’lere, “Commie 64” (Commodore64) ve “Trash-80”lere (TRS80-Tandy) düştükleri zamanlardı bunlar.
1983 yılında çevrilen War Games (SavaÅŸ Oyunlary) adlı film, hacker’lıgı farklı bir cepheden ele aldı: Bu film izleyicileri hacker’ların her bilgisayar sistemine girebileceÄŸi konusunda uyarıyordu.
Her geçen gün daha fazla kiÅŸi online dünya ile tanışıyordu. Askeri amaçlarla kurulan, sonradan üniversiteler arasında bir aÄŸ haline gelen ARPANET, artık Internet’e dönüşüyordu; BBS’lere karşı tam bir ilgi patlaması yaÅŸanıyordu. Milwaukee’de kendilerine The 414’s diyen bir hacker grubu, Los Alamos Laboratuarlaryndan Manhattan’daki Sloan-Kettering Kanser Merkezi’ne kadar deÄŸiÅŸen pek çok kurumun sistemine girdiler. Artık polisin iÅŸe karışma zamanı gelmiÅŸti.
Büyük Hacker Savaşı. 1984’e, kendine Lex Luthor adını veren bir kiÅŸi Legion Of Doom (LOD – Kıyamet Lejyonu) adlı hacker grubunu kurdu. Adını bir çizgi filmden alan LOD, en iyi hackerlara sahip siber-çete olarak ün saldı. Ta ki grubun en parlak üyelerinden Phiber Optik isimli gencin, grubun bir diger üyesi Erik Bloodaxe ile kavga edip kulüpten atılmasına kadar. Phiber’in arkadaÅŸları rakip bir grup kurdular: Masters Of Deception (MOD). 1990’den itibaren, LOD ve MOD, iki yıl boyunca online savaÅŸlar sürdürdüler, telefon hatlarını kilitlediler, telefon görüşmelerini dinlediler, birbirlerinin özel bilgisayarlarına girdiler. Sonra Federaller (FBI) olaya el attı, Phiber ve arkadaÅŸları tutuklandı. Bu olay, bir dönemin sonunun geldiÄŸini haber veriyordu.
Yasaklar (1986-1994). Devlet de online olunca, eÄŸlence bitti. Kongre, ciddi olduklarını göstermek için, 1986’da Federal Computer Fraud and Abuse Act (Federal Bilgisayar Sahtekarlıgı ve Kötüye Kullanma) adı altında bir yasa çıkardı. Bu boyutta hacker’lık ağır bir suç oldu.
1988’de Robert Morris Internet worm (Internet solucan’ı) adını verdiÄŸi bir hack yöntemi ile ortaya çıktı. Net’e baÄŸlı 6000 bilgisayarı göçerterek, yeni yasayla yargılanan ilk kiÅŸi oldu. Sonuç: 10.000 dolar para cezası ve çok fazla saat toplum hizmeti.
Bir süre sonra, tutuklananları saymak için parmaklar yetmemeye başladı. Aynı yıl Condor takma adıyla tanınan ünlü hacker Kevin Mitnick, Digital Equipment Company şirketinin bilgisayar ağına girdi. Yakalandı ve 1 yıl hapis cezasına mahkum oldu. Sonra adaşı Kevin Poulsen telefon hatlarına girmekle suçlandı. Kevin hemen ortadan kaybolarak 17 ay boyunca saklandı.
Sundevil Operasyonu, ABD hükümetinin ülkedeki tüm hacker’ları (LOD dahil) ele geçirmek için 1990’da baÅŸlattıgı bir operasyondur. Bu giriÅŸim bir iÅŸe yaramadı; ancak bir yıl sonraki Credux operasyonun MOD’ın 4 üyesinin hapisle cezalandırılmasıyla sonuçlandı. Phiber Optik federal hapishanede bir yıl geçirdi.
1994’den Bugüne. 1994 yazında, Rus mafyasının eline düştügü ileri sürülen Vladimir Levin adlı bir genç, Citibank’ın bilgisayarlarına girerek müşterilerin hesaplarından, bir söylentiye göre 10 milyon dolardan fazla parayı (resmi açıklamaya göre 2.5 milyon dolar) Ä°srail’deki banka hesaplarına transfer etti. Levin, 95 yılında Interpol tarafından Heatrow Havaalanında tutuklandı; Citibank yaklaşık 400.000 dolar haricinde tüm parasını geri aldı. Hackerların ard arda tutuklanması siber ortamda ani bir dolandırıcılık azalmasına neden oldu.
Bunu ister anarÅŸinin sonu, ister serbestliÄŸin ölümü olarak adlandırın, artık hacker’lar romantik anti-kahramanlar, sadece bir ÅŸeyler öğrenmek isteyen farklı (tuhaf) insanlar olarak kabul edilmiyorlardı. Dünya piyasasını Net üzerinden yönetme vaadiyle filizlenen online ticaret, korunmaya ihtiyaç duyuyordu. Hacker’lar birden dolandırıcı niteligi kazandılar.
Peki şimdilerde neler oluyor? Internet dünyasında yasadığı yöntemlere sıkça başvuruluyor, ancak eskisi gibi efsaneleşmiş isimler çıkmıyor.
Yine de Aldous Huxley’in bir zamanlar söylediÄŸi gibi, olaylar görmezlikten gelinmekle yok olmazlar. Bilgisayar yer altı dünyasında hep söylenen ÅŸu sözü de unutmayın: iyi bir hacker’san, ismini herkes bilir. Ama büyük bir hacker’san kimse kim olduÄŸunu bilmez.
HACKER VE LAMER
Lamer : 14 ile 50 yaÅŸ arası bir kitledir, fazla bir bilgiye sahip olmaksızın ve fazla bir emek harcamadan site kırmak veya baÅŸkalarının bilgisayarlarına girmek gibi iÅŸlerden haz duyarlar, %100 oraninda hazır bilgiye bağımlı oldukları için bu camiadan pek fazla yeni fikir çıkmaz. Hacker : 17-25 yas arası bir kesimdir, bu yaÅŸ gurubundakiler bilgisayarın Türkiye’de yeni yeÅŸerdiÄŸi zamanlardan beri bilgisayar kullandıklarından oldukça maharetlidirler tabi olarak. ÇoÄŸunlukla en az bir bilgisayar dili veya iÅŸletim sistemi üzerine yoÄŸun bilgi sahiptirler, bilgisayar hayatlarının önemli bir kısmını meÅŸgul eder. Bilgi paylaşımı esas teÅŸkil ettiÄŸi için bir bilgiyi alır geliÅŸtirir ve diÄŸer hackerlar ile paylaşırlar. Hackerlık ile lamerlik farklı ÅŸeylerdir, ancak biri diÄŸerinden kötü falan deÄŸildir. Bu daha çok fotograf makinesi olan bir insanla, fotoÄŸrafçılık yapan bir insanı karşılaÅŸtırmak gibi bir durum olur.
HACKERLERİN KULLANDIKLARI YÖNTEM VE PROGRAMLAR
·TROJANLER
Hackerlar trojan (diÄŸer adı ile RAT=Remote Access Tools) adı verilen programları kullanırlar.Peki trojan nedir? Adını Truva Atı’ndan alan programcıklar olan trojanların ikiyüze yakın çeÅŸidi mevcut ve her gün yenileri çıkmakta.Hepsinin çalışma yöntemi aÅŸagı-yukarı aynı.Server,client ve editör denen üç parçadan oluÅŸuyorlar.En sık kullanılanlardan bazılarının adlarını söylemek gerekirse ; Bladerunner, Deepthroat, Girlfriend, Schoolbus, Netbus, Subseven, Striker, Doly, Wincrasher, Voodoo, Netsphere .DediÄŸimiz gibi sayıları iki yüze yakın, ancak hit olan sadece iki tane.Tüm dünya ile birlikte Türk hackerlarının gözdesi olan bu programlar Subseven ve Netbus trojanlardır.Bunlar arasından da en genel hatta Türk hackerlarının kullandığı program Subseven‘dır.
oSERVER’LAR
Trojan denilen programların ilk parçalarına server denilir.Hacklenecek bilgisayarda bir kez çalıştırılması yeterlidir.Çalıştığı bilgisayar net’e her baÄŸlandığında,kullanıcının haberi olmadan,"ben buradayım ve bu bilgisayarın arka kapısını açtım,haydi baÄŸlan" mesajını verecektir.BilindiÄŸi gibi bir bilgisayarda yaklaşık 40000 kapı yani port vardır.Bunların ilk 1000 adedini bilgisayarınız kullanır.Kalan 39000 kapı normalde kilitlidir.Ä°ÅŸte bu server adı verilen programlar, hırsızlar tarafından bu kapılardan birini açsın diye yazılırlar.Her trojanın açtığı bir kapı vardır. Subseven trojan en çok 1243 no’lu kapıyı açsın diye yazılır. Peki server denen bu ajan parça bilgisayarınıza nasıl girer.Bu iÅŸin en kolay yolu, server’ı masum bir programa yapıştırmaktır.Bu iÅŸi saÄŸ mouse darbesi ile açılan kes-yapıştır modu ile yapamazsınız.Genellikle joiner, silkrope gibi programlar bu iÅŸ için yazılmışlardır.Nasıl kullanacağınızı ilerde anlatacağız.Serverları bir bilgisayarda çalıştırmanın diÄŸer yolu icq, irc gibi sohbet programlarında güveni kazanılmış kiÅŸilere yollamaktır. Kullanıcı programa clikler ve artık bilgisayar iÅŸgale açıktır.Serverla enfekte hale gelmenin ülkemizdeki en sık nedeni net’ten bilinçsiz program indirmektir.Güvenilir bir siteden indirdiÄŸiniz programları bile,açmadan önce kesinlikle iyi bir antivirus ve antitrojan programından geçirmek ÅŸarttır.Trojanları tanıyan antivirus programlarına AVP,antitrojan programlara da cleaner’ı ve Norton,McAfee,F-Prot gibi ünlü antivirus programlarını örnek verebiliriz.Subseven trojan üçlü bir pakettir.Piyasadaki son versiyonları 2.0 ve 2.1 Gold adlarını taşıyor.
oEDİTÖR
Server’ı islediÄŸimiz ÅŸekilde kurmaya yarayan parçadır.Operasyonun en hassas bölgesi diyebiliriz.Önce EditServer yazan yeni dosya açılır.Açılan alttaki pencereden "next"e cliklenir.Burada size server’a nasıl ulaÅŸabileceÄŸini soran cümle ile karşılaşırsınız.EÄŸer server’ı A: disketine kaydedilmiÅŸse “a:server.exe” yazılır.Belgeler bölümüne kaydedilmiÅŸse “c:Belgelerimserver.exe” yazılır. Adresi yazıp alttaki next’e clicklenir yeni sayfaya geçilir.Bu sayfada server’ın hangi porttan yayın yapacağını sorar.1243 en iyisidir.Solundaki minik kutuyu iÅŸaretlenir.Altta pasaport yerleÅŸtirmek isteyenlere hitap eden satır vardır.Soldaki minik kutuyu iÅŸaretleyip iki kez pasaport girilir.En alttaki minik kutuyu iÅŸaretlenmez yoksa asla geri dönemezsiniz. Åžimdi "server’ın adını koyun" sorusu çıkmaktadır.Default tuÅŸu en iyisidir.Altta yerleÅŸtikten sonra izini kaybettir anlamına gelen küçük kutu var,iÅŸaretlenir.BeÅŸinci aÅŸama,server’ın ilk çalışması ile sahte bir hata mesajı verme opsiyonudur.Configure tuÅŸu ile bir mesaj beÄŸenilir.Bu bölüm opsiyoneldir.Yedinci bölümde kullanıcıya ad verilmesi istenir. Sekizinci bölümde,server nereye yerleÅŸeceÄŸini sorar.Less known ve unknown metotları seçilir.EÄŸer hata ile server’ı kendi aletinizde çalıştırırsanız, bir daha zor kurtulursunuz.Åžimdi ki aÅŸamada server’ı sonu exe ile biten bir programa yapıştırma ÅŸansı verilmekte.C: driver taranıp,istediÄŸiniz bir programa yapıştırılarak kullanıcılara gönderilir.Alttaki soruda,baÅŸkalarının server’ınızı açmaması için pasaport sorulmaktadır.Sadece,save a new copy bölümünü tıklayıp yeni server’ımızın kaydı alınır.Sol en alttaki kutuyu iÅŸaretlenerek iÅŸlem bitirilir.
·KARŞI KULLANICIYI HACKLEME
Subseven programını açınca karşımıza çıkan programda öncelikle soldaki sıralı kutucuklardan "connection"ı seçilir.BeÅŸ bölümden ilk olarak ip scanner’ı seçin.BildiÄŸiniz gibi internete baÄŸlandığında ÅŸirket tarafından bir numara verilir.Bu no’lar veezy’de 212.29 ile,turknet’te 212.57 ile, superonline’da 212.252 ile baÅŸlar.SaÄŸda açılan start ip kutucuklarını doldurulur. Veezy kullanıcısını haclemek için 212.29.60.2 yazılır. end ip numaralarına 212.29.233.255 yazılır. Port kutusuna 1243, delay kutusuna 4 yazılır.SaÄŸ üstteki scan tuÅŸuna basınca,tüm bu numaralar aralığında bilgisayarında server olan ÅŸahısları arar.BulduÄŸu numaraları ortadaki büyük kutuda sıralar.Oltaya takılan bu no’yu enüstteki ip: yazan yere koyun.SaÄŸdaki port no hala 1243 olmalı. Åžimdi saÄŸ en üstteki connect yazısına tıklanır.BaÄŸlantı kurulunca en altta connected yazısı görülür.EÄŸer kurbandaki server pasaportla korunuyorsa members.xoom.com/netvampiri/files/subpass.exe dosyası çekilir.Bunu açıp,kurbanın ip numarasını yazılır ve change(deÄŸiÅŸtir)tuÅŸuna basılırsa, pasaport predatox olarak deÄŸiÅŸir.Tekrar subseven’la kullanıcıya baÄŸlanıp yeni pasaportu girilir.Connection bölümünde diÄŸer bir şık,server options bölümüdür.Buradan kullanıcının server’ına yeni pasaport koyma, portunu deÄŸiÅŸtirme gibi olanaklara kavuÅŸulur.Ä°kinci bölüm keys/messages bölümüdür.Burada klavye girilirse, kullanıcının klavyede bastığı her tuÅŸ görülebilir. Get cache ve get recorded tuÅŸları ile net ÅŸifrelerine el koyarsınız. Files / windows ana şıkkında file manager’a girerseniz kullanıcının tüm dosyalarına ulaşılır .Ä°stediÄŸiniz çekebilir hatta silinebilir.
Bir sonraki sayfada bazı trojan programı isimleri ve bunların bilgisayarlarımızda kullandığı portların numaraları verilmiştir.
PORT Trojan’ın ismi
21 – Fore, Invisible FTP,FTP, WebEx,WinCrash
23 – Tiny Telnet Server, Telnet, Wingate
25 – Antigen, Email Password Sender,Haebu Coceda, Shtrilitz Stealth, Terminator
31 – Hackers Paradise
80 – Executor
456 – Hackers Paradise
555 – Ini-Killer, Phase Zero, Stealth Spy
666 – Satanz Backdoor
1001 – Silencer, WebEx
1011 – Doly Trojan
1170 – Psyber Stream Server, Voice
1234 – Ultors Trojan
1243 – SubSeven Default Port
1245 – VooDoo Doll
1492 – FTP99CMP
1600 – Shivka-Burka
1807 – SpySender
1981 – Shockrave
1999 – BackDoor
2001 – Trojan Cow
2023 – Ripper
PORT Trojan’ın ismi
7301 – NetMonitor
7306 – NetMonitor
7307 – NetMonitor
7308 – NetMonitor
7789 – ICKiller
9872 – Portal of Doom
9873 – Portal of Doom
9874 – Portal of Doom
9875 – Portal of Doom
9989 – iNi-Killer
10067 – Portal of Doom
10167 – Portal of Doom
11000 – Senna Spy
11223 – Progenic trojan
12223 – Hack´99 KeyLogger
12345 – GabanBus, NetBus
12346 – GabanBus, NetBus
12361 – Whack-a-mole
12362 – Whack-a-mole
16969 – Priority
17000 – Kuang2
20001 – Millennium
20034 – NetBus 2 Pro
21544 – GirlFriend
22222 – Prosiak
23456 – Evil FTP, Ugly FTP
26274 – Delta
31337 – Back Orifice
ESSENTÄ°AL PROGRAMI
Essential net tools (gerekli internet araçları) bu program bilgisayarlar arası dosya alışverişi sağlayan ve internet üzerinden paylaşımı açık insanların bilgisayarlarına girebilmenizi sağlar
Programı indirdikten sonra bilmemiz gerek ilk şey ip numarasının ilk iki epizotunun değişmedigi son 2 epizotunun değiştiğidir ve buna göre ip numarasının son epizotu 1 ile 255 arasında olduğundan biz bir ip numarası alındığında Starting IP yerine yazınca sonunu 1 Ending IP bölümüne yazınca da sonunu 255 yapılır.
[IMG]file:///C:/DOCUME%7E1/Yasin/LOCALS%7E1/Temp/msohtml1/01/clip_image004.jpg[/IMG]
Bulduğuz ip numarasını yazdıktan sonra Go tuşuna basılır ve o ip numarası arasındaki bütün bilgisayarlar çıkacak ondan sonra b RS bölümde YES yazan bilgisayarlara sağ tuş ile tıklayıp Open Computer denilir. Genelde ise C ve D gözükür öyle bilgisayarlara girip istenilen her şey yapılır.Unutulmaması gereken tek şey var oda paylaşımı açık bir bilgisayara girmek için bilgisayarımızın paylaşıma açık olması gerekir.
EXPLOÄ°T PROGRAMLARI
Exploitler,bir sisteme erişim almak ya da sahip olduğunuz erişimi arttırmak için yazılmış küçük programcıklardır.Ayrıca exploitlerin işlevine göre serveri crash etme özellikleri de olabilir.Çeşitleri ;
Local Exploit :Local exploitler,sisteme erişimi olan kullanıcılar tarafından çalıştırılabilir.Bu tip exploitler sayesinde basit bir kullanıcı,sistemde yönetici hakkına bile kavuşabilir.
Remote Exploit : Remote exploitler, sisteme hiç bir giriş izni olmadan çalıştırılabilir.Bu tip exploitler sayesinde kendi bilgisayarınızda çalıştırdığınız bir script ile hiç bir erişiminiz olmayan bir bilgisayarı ele geçirebilirsiniz.
Cgi Exploitleri :Bu tip exploitler cgi scriptlerinde bulunan açıklardan yararlanırlar. Güvenlik sitelerinde yüzlerce cgi exploitlerine rastlayabilirsiniz.Günümüzdeki en popüler hacking yöntemlerinden biridir.Özellikle web üzerinde çalıştırılan scriptlerde programcının yaptığı hatalardan yararlanan kullanıcılar,önemli dosyalara ulaşarak sisteme zarar verebiliyorlar.
NUKE
Windows 3.1x, Windows 95 ve Windows NT de "Microsoft Network Client" vardır. Dosya ve yazıcı paylaşımı için geliÅŸtirilmiÅŸ bir teknik. Önceleri sadece NetBEUI protokolünü desteklerken bu gün TCP/IP veya IPX/SPX protokolü ile de bu client çeÅŸidini kullanabilirsiniz. Nuke olayı bir bug’dan kaynaklanmaktadır. EÄŸer "Microsoft Network Client" i kullanıyorsanız bilgisayarınızda 137,138 ve 139 nolu portlar aktif demektir. Bilgisayarlar bu portlardan haberleÅŸir. Ne yazık ki burada bulunan bir bug, baÅŸkalarının sizin bilgisayarınızı çökertmesine neden olmaktadır. Hatta yine aynı portlardan bilgisayarınıza girip ÅŸifrelerinizi çalabilir, dosyalarınıza eriÅŸebilirler.139 nolu porttan özel bir kod gönderilirse bilgisayarınız kesin çöker. EÄŸer bir patch uygulanmamışsa.Çözüm olarak Windows’unuzun aÄŸ ayarlarından "Microsoft Network Client" i ve "NetBEUI" i kaldırılır. EÄŸer kullanmak zorunda olunursa Microsoft’dan patch alınır. EÄŸer iÅŸe yaramazsa "Microsoft Network Client" i TCP/IP ile kullanılır. Ayrıca nukler MIRC ,ICQ gibi sohbet programlarının bug (hata) larında dan yaralanılarak kullanıcı bilgisayara zara verilebilir. Aslında bu tür nukler iÅŸletim sistemine deÄŸil bu programların çalışmasını etkiler buda iÅŸletim sistemini etkileyerek dolaylı olarak sistemin durmasına yol açar.
Hackerlardan korunma yöntemleri
1)Tanımadığınız kişilerin yolladığı dosyaları almayın.Tanıdığınız kişilerin hatta arkadaşlarınızın da sizi hacklemeye çalışabileceğini de unutmayın!
2)Sürekli bir Antivirüs programı bulundurun ve sürekli internetten update (yani yeni virüsleri tanıması için) edin!(Antivirüs bölümünde gerekli programları bulabilirsiniz.)
3)İnternetten çektiğiniz veya başkalarından aldığınız dosyaları antivirüs kontrolünden geçirmeden açmayın!
4)Ara sıra hard diskinizin tamamını virüs taramasından geçirin.
5)İnternetten çektiğiniz ve bilmediğiniz programları sakın açmayın.Eğer güvenilir bir kaynaktan çektiyseniz ne olduğunu görmek için açabilirsiniz ama bir virüsse bilgisayarınızı bile çökertebilir.
6)E-Mail , Ä°cq , vb. hesaplarınızda ’111111′ , ‘asdf’ , doÄŸum tarihiniz , hayvanınızın ismi gibi ÅŸifreler kullanmayın.Bunları genelde tahmin etmesi kolaydır ve çabuk hack edilir.
7)E-Maillerinize gelen ‘ÅŸifreniz kayboldu , hemen bilgilerinizi ÅŸu adrese bildirin’ gibi mesajlarda bir hackerdan gelmiÅŸ olabilir.Bu hatta tanıdığınızdan gelen bir e-mailde olabilir..Ama bilen birinin istediÄŸi adresi göstermesi hiçte zor deÄŸil!Yani isterse size beyaz saraydan e-mail yollanmış gibi bile yapabilir…
Firewall ve Anti Virüs Programları
Firewall
Firewall diye bilinen programlar, bilgisayarınızın portları ile internet arasına yerleşerek yapancı veya sizin onaylamadığınız girişimlere mani olurlar. Özellikle bilgisayarınızda bir trojan var ise bile firewall sayesinde, trojan ile başkalarının size ulaşmasını önler. Firewall virüs veya trojan bulmaz sadece internete giriş kapılarınız olan portları kontrol altına alarak istemediğiniz bilgi giriş çıkışlarına mani olur. Bu programlar sık binen trojanların kullandıkları portları kontrol ederler veya bilgisayarınızda sizin kontrolünüz haricinde işlem yapıldığında sizi uyarırlar.
Ayrıca Firewall yerel ağın internete bağlı olduğu sitemlerde internet üzerinden gelen diğer istenmeyen kullanıcıların yerel ağa girmelerini önler bunun için firewall programının yerel ağı internete bağlayan ana bilgisayarlara veya sistemlere kurulur.
[IMG]file:///C:/DOCUME%7E1/Yasin/LOCALS%7E1/Temp/msohtml1/01/clip_image005.gif[/IMG]
Çoğu netwok güvenlik üzerine kurulmadığından bu gibi networklerde firewall bulunması o networklerin güvenliği açısından bir gerekliliktir.
Firewall’ ların genel mantığı sisteminize onay verilmeden (authorization) kullanıcıların girmemesini saÄŸlayarak sisteminizi teorik olarak dışarıdan görünmez hale getirmektir.
Bir firewall genel olarak yasal kaynaklardan ve gideceği hedefin adresinden oluşur. Bu şartlara uymayan her paketi geri çevirir. Buna adres filtreleme(Address Filtering) denir.
Ä°ki firewall bir arada düşünürsek; gateway’den ve ya gateway’e gönderilmedikçe hiçbir paketi almayan ve geri çeviren bir yönlendiriciyi oluÅŸtururlar.
Global Ağdaki bir makineye bağlanmak için, ilk önce gateway a bağlanmanız gerekir. Bunun ardından global networke geçebilirsiniz.
[IMG]file:///C:/DOCUME%7E1/Yasin/LOCALS%7E1/Temp/msohtml1/01/clip_image006.gif[/IMG]
Şuanda en çok kullanılan Firewall programları ve kullanım şekilleri şöyledir;
Nuke Nabber 2.9: IRC Kullanıcıları arasında en çok tercih edilen programdır. mIRC programının DDE adı verilen özelliÄŸi sayesinde Nuke adi ile genellenen ICMP saldırılarına karşı sizi korur. Programı kurduÄŸunuz zaman dikkat etmeniz gereken nokta IRC’nin içerisindeki DDE Server ile Nuke Nabber ‘in ayarlarındaki DDE Server’ın ayni ayarlara sahip olmasıdır, eÄŸer bu ayarı doÄŸru yapmazsanız programın hiç bir etkisi kalmaz. Ayarları yapmak için önce mIRC programında Options (Alt+O) mönüsüne girin. Ekrana gelen pencerenin solundaki bölmede General özelliÄŸinin altında Servers bölümü bulunmaktadır. Servers özelliÄŸini seçtiÄŸiniz zaman pencerenin saÄŸ kısmında açılan DDE Server kısmında “Enable DDE Server” seçeneÄŸinin yanına iÅŸaret koyun ve Service Name kısmına mIRC ya da dilediÄŸiniz bir isim yazın. Åžimdi aynı ayarı Nuke Nabber programını açarak yapalım. Options mönüsünde General bölümünü seçin ve karşınıza gelen IRC client kısmından mIRC’yi seçin ve hemen altındaki DDE Services kısmında yer alan mirc ibaresini Del seçeneÄŸiyle silin ve yerine Add diyerek mIRC programına eklediÄŸiniz DDE Server adini girin ve pencerenin saÄŸ kısmındaki Enable DDE Link seçeneÄŸini aktif hale getirin. Artık program kurulumda gelen portlara karşı olan saldırıları engelleyecektir ve saldırının yapıldığı Internet adresini (IP) size bildirecektir. Programda daha geliÅŸmiÅŸ ayarlar da yapılması mümkün. ÖrneÄŸin Advanced mönüsü içerisinde ekli olan portlara yabancı bir paket geldiÄŸi zaman sizi bir sesle uyarmasını isterseniz General mönüsünde Play Sound seçeneÄŸini aktif hale getirip Browse ile sisteminizdeki bir sesi bu özellik için tanımlayabilirsiniz. Herhangi bir porta yapılan saldırıyı, o portu yoÄŸun paket trafiÄŸinden korumak amacıyla (0-60) saniye süresiyle kapatarak etkisiz hale getirebilirsiniz. Bunun için ise Disable Port for 60 se conds seçeneÄŸini aktif hale getirmelisiniz. Port tarayıcı programlar ile o an listen (dinleme) halinde olan yani potansiyel saldırıya açık port’larınızın bulunmasını istemiyorsanız Block Port Scanners seçeneÄŸini aktif hale getirmelisiniz. Belirli bir a
