URL: http://www.olympos.org/article/articleprint/1433/-1/10/kullaniciya_yonelk_tehdtler
|
KULLANICIYA YÖNELİK TEHDİTLER
|
|
Ana sayfa
Kütüphane
Dokümanlar
Yaşantımızda öyle kelimeler vardır ki insanlarla iletişimimizde bu kelimeleri sık sık kullanırız. Bilgisayarlarla içice olduğumuz durumlarda da teknolojinin getirdiği bu kelimeleri de yaşantımıza yerleştirdik. Bu teknolojiye ait kelimeleri kendimizle neredeyse bunlarla bütünleştirdik. Muhakkak bir toplantıda "bilgisayarıma virüs bulaştı. Geçenlerde bana trojan mı ne ondan bulaşmış" yada basında "sistemlere virüs bulaştı." gibi cümleler çok duymaya başladı. Kimimiz ise "yok kardeşim bana virüs müdür nedir o parazitlerden bulaşmaz :)" diyebiliriz. Bilgisayarlarımızla birlikte İnternette serbestçe dolaşmaya başladığımızda Virüs, Trojan, Rootkit, Backdoor(Arkakapı), Worm(Solucan) gibi kelimelerle devamlı karşılaşmaktayız. Bu türden isimler insanlarından hayatında yer edinmeye başladığından beri bu kavramlara ilişkin tanımlamalarda yazılmaya başlandı.
Bu tanımlamalar şu şekildedir:
Virüsler, programların içine kendini ekleyen kod parçalarıdır.
Truva atları ( Trojan ), kullanıcılara zararsız bir program gibi görünerek sisteme entegre edilir. Kullanıcılara resim, güvenlik programı veya şüphe uyandırmayacak bir program gibi tanıtılır.
Solucan ( Worm ), sistemlerin ağ ortamlarını kullanarak başka bir sisteme geçerler. Yayılması için sistemlerin güvenlik boşluklarından yararlanırlar.
Arkakapı ( Backdoor ), sisteme herhangi birinin dışarıdan müdahale etmesini sağlayan uygulamalardır.
Virüs, Trojan, Backdoor, Solucan gibi kavramlar birbirinden ayrı olsa da bunların tümüne birden bilgisayar kullanıcıları arasında virüsler denilmeye başlandı. İnternetin kullanım oranının artmasıyla birlikte yayılma oranı olarak tehlikeli kodlar statüsünde solucanlar daha popüler oldu. Dosyalara bulaşan virüsler büyük oranda azalmaya başladı. Yazılım hatalarının ortaya çıkması ve bu hataları kullanarak yayılması için yazılan solucanlardaki artış bilgisayar kullanıcılarını büyük zora sokmaktadır. Öyle ki bazı solucanlar Trojan � Backdoor türüne ilişkin kodları bünyesinde barındırmaktadır. Bu tür karışık kod kombinasyonunu barındıran solucan, kullanıcının sistemine bulaştığında sisteme dışarıdan giriş izni verebilir. Buda istenmeyen sonuçlar zincirinde yer alır.
Bir Virüs/Solucan yazarının düşünceleri arasında;
- Sistemdeki yazılımlar neler olabilir? Kullanılan bu yazılımlarda tehlike oluşturacak hata(solucanın yayılmasında kullanılan hata) var mı? Eğer hata varsa solucan nasıl yayılır?
- Sosyal mühendislik solucanda yayılma hızını ne ölçüde etkiler?
- E-posta, chat gibi işlemleri gerçekleştiren yazılımlarına ilişkin kod solucanın yayılma hızına etki eder mi? gibi düşünceler yer alır.
Yada bir solucan yazarının düşüncesinde, İnternette yayılan bir solucanın hatasını kullanarak yayılan ve yaşamaya çalışan solucan fikride olabilir(Bir nevi solucanların savaşı). Örnekler çoğaltılabilir. Her ne olursa olsun neticesinde etkilenenler yine İnternet kullanıcıları olacaktır.
Bu yazıda Linux sistemlerine ilişkin virüs ve solucanlardan bahsedilecektir?
Genellikle, sorulan soruların başında Linux çekirdeğine sahip işletim sistemine virüs bulaşır mı?
Yanıt kısaca; bulaşma yüzdesi düşük. Eğer sistem iyi bir şekilde yapılandırılmışsa sisteme dosya virüsü bulaşma olasılığı çok zordur. /sbin, /tmp gibi yapılar farklı bir bölümde olup, nosuid, noexec, read only şeklide tanımlanırsa bir dosya virüsünün bu sistemde beslenme olasılığı çok zordur. Böyle bir durum mevcutsa Linux için dosya virüsleri var mı? türünden aklımıza soru gelebilir. Sorunun yanıtı, Evet. Bu dosya virüsleri ülkemizde pek bilinmemektedir. Dediğim gibi bunların yayılma olasılığı düşük.
Durumu solucanlar açısından değerlendirirsek Linux ne derece güvenlidir? demektense sisteme kurulan yazılımlar ne derece güvenlikli demek daha doğru olur.
Çünkü; sisteme kurulu olan bir ağ yazılımında(web sunucu, ftp sunucu v.b.) yada kullanıcılarla birebir ilişkiyi sağlayan bir yazılımda açık var ise bu açıklar solucanlara davetiye çıkarır ve sistemin güvenlik bütünlüğünü tamamıyla zorlar. Örneğin, Apache solucanı(Slapper), phpBB solucanı(perl.Santy).
Son zamanlarda bu solucanların en bilineni phpBB solucanıdır. Bu solucan phpBB isimli bir web forum uygulamasının açığını kullanarak yayılır. Yayılmak için beslendiği ortam google isimli tarama motorudur.
Google arama motoru sayesinde phpBB web uygulamasını kullanan sistemleri bulup, site dizinlerini tarayarak “.asp / .htm / .jsp / .php / .phtm / .shtm” uzantılı dosyaların içeriklerini;
This site is defaced!!!
NeverEverNoSanity WebWorm generation
olacak şekilde değiştiriyor.
Bu phpBB solucanından esinlenerek yazılmış bir çok solucan ortaya çıktı. Bunlardan biri google arama motoru yerine yayılmak için search.aol.com adresini kullanıyordu. Bu solucanlardan bazısı web sayfalarını değiştiriyor, bazısı ise sistemde arkakapı bırakıyordu. Bu türden solucanlar hakkında araştırma yaparken dikkatimi çeken bir solucan oldu. Bu solucan sadece phpBB forum uygulamasını içeren siteleri aramıyor. Google ve Yahoo isimli arama motorlarının vasıtasıyla 51 adet farklı uygulamayı tarayarak ki bunların hepsi açık içeriyor ve tarama sonucunda açık bulunan sitelere arkakapı yüklüyor. Neticesinde de bu arkakapı sayesinde uzaktan sisteme giriliyor. Görülmektedir ki sistemi tehlikeli durumu düşürenlerin en başında uygun şekilde yapılandırılmamış uygulamalar gelmektedir.
|
|
Perl.Santy: phpbb solucanı tarafından içeriği değiştirilmiş bir site.
|
Geçtiğimiz haftalarda güvenlik uzmanları e-postalara yollanan sahte bir güvenlik yamasından bahsettiler. E-posta adreslerine Fedora-Redhata ilişkin fileutils (mkdir/ls) araçlarındaki güvenlik açığını kapatan yamayı, kullanıcıların sistemlerine yüklemeleri konusunda elektronik postalar yollanmaya başlandı. Gerçekte bu e-posta uyarısı sahte bir uyarıydı. E-postada belirtilen dosya, sisteme kurulduğunda sistemde bazı değişiklikler meydana getiriyordu. Amaç, fileutils araçlarında ciddi güvenlik sorunu var denerekten trojanlı olan dosyanın sistemlere kurulması sağlanmıştır. Güvenlik açığını kapattığı söylenilen bu trojanlı dosyanın adı “fileutils-1.0.6.patch.tar.gz” dır.
Dosyanın boyutu 959 KB. Trojanlı olan bu dosya 3 parçadan oluşmaktadır.
Dosyanın parçaları;
- fileutils-patch.bin
- inst.c
- Makefile
Tehlikeli olan ve sistemde kullanıcı açıp, sisteme ait bazı bilgileri e-posta olarak bir adrese yollayan dosya 'inst.c' isimli dosyadır. Bu dosya "Generic Script Compiler[shc]" ile oluşturulmuştur. Böylece kullanıcılar dosyanın neler yaptığı konusunda fikir sahibi olamayacaktı. Dosya derlenip(make komutu ile) çalıştırıldığında(./inst) ekrana yanıltıcı mesajlar gelmektedir. Eğer uygulama root olarak değil de normal kullanıcı olarak çalıştırılırsa, ekrana patch(!) root olarak eklenmeli şeklinde bir uyarı gelmektedir.
Aşağıda trojanlı dosya çalıştırıldığında ekrana yansıyanlar görülüyor.
$ make
cc inst.c -o inst
$./inst
This patch must be applied as "root", and you are: "adios"
# ./inst
Identifying the system. This may take up to 2 minutes. Please wait ...
System looks OK. Proceeding to next step.
Patching "ls": ###########
Patching "mkdir": ###########
System updated and secured successfuly. You may erase these files.
Yukarıdaki uyarı sistemin başarılı şekilde güncellendiği belirtiliyor. Gerçekte sistemde yöneticinin isteği dışında bazı işlemler gerçekleşti.
Yapılan bu işlemler sonucunda sisteme root hakkıyla bir kullanıcı açıldı. Sisteme eklenen kullanıcı adı bash dir. Eklenen bash kullanıcısına ilişkin password yok. Böylece sisteme dışarıdan rahatlıkla bağlanılabilmektedir.
Bu trojanlı dosyanın gerçekleştirdiği bir diğer olay ise trojanlı bu dosyayı oluşturan kişiye sisteme ilişkin bazı bilgilerin e-posta olarak göndermesi.
Bu bilgiler arasında sistemdeki ağ arayüzleri, sisteme ait IP adresi/adresleri gibi bilgiler bulunmaktadır.
2003 senesinde internette uzaktan(remote) kernel 2.4.x için bir exploit(!) yayınlandı.
Bu exploitin kernel.2.4.x sürümlerine sahip Linux sistemlerine root hakkıyla bağlanabileceği belirtiliyordu.
Fakat bu kod aldatmacaydı(fake exploit).
Bu kodu kullanan kişi karşı sisteme root olarak bağlanacağını düşünürken kendini tuzağa düşürüyordu.
|
|
fake_exploit: derlenen sahte bir exploitten kesit. İçerisinde bir perl ile yazılmış bir betik var. Bu betik, sistemin uzaktan(remote control) kontrol edilmesini sağlıyor.
|
Bu kodu kullanan ne tür bir tuzağa düşüyor?
Kod çalıştırıldığında /tmp içerisine perl dosyası atıyor. Bu dosyayı otomatik olarak çalıştırarak sistemi bir IRC sunucusuna bağlayıp, belirli komutlarla sistemi izlemeye olanak veriyor. Bu sahte exploit sonrası buna benzer başka dosyalarda ortaya çıktı. Bu çıkanlar arasında sistem bilgisini, passwd dosyası gibi bazı bilgileri, dosyayı oluşturan kişinin e-posta adresine yollayanlarda vardı.
Linux sistemlerine ilişkin bu tür zararlı kodların yayılma potansiyellerini düşündüğümüzde hedef kitle büyük oranda Linux sunucuları olmaktadır.
Bazı Linux virüsleri vardır ki özelikleri çok ilginçtir. Bunların başında hem Windows hemde Linux sistemlere bulaşan Winux(Linux/Lindose) isimli dosya virüsüdür. Boyutu 2.5 Kb dir. Bu dosya virüsü 2001 yılında yazılmıştır.
Bilinen bazı Linux dosya virüsleri:
Linux.Bliss
Linux.Diesel
Linux.Gildo
Linux.Kagob
Linux.Nuxbee
Linux.Satyr
Linux.Vit.4096
Linux.Winter
Linux.Zipworm
Linux.Neox
Linux.Xone
|
|
QtFprot: F-prot antivirüs uygulamasının kullanımını, grafiksel arabirim vasıtasıyla kolaylaştırır.
|
|
|
Panda Antivirüs: Oldukça popüler olan Panda Antivirüsün Linux versiyonu dosya virüslerini tespit etmede oldukça başarılı.
|
|
|
H+BEDV Antivir: Dosya virüslerini tespit etmede başarılı. Ayrıca tespit ettiği virüsleri sistem kayıt(log) dosyalarında da belirtiyor.
|
|
|
Clamav: Ücretsiz olması nedeniyle dikkat çeken bir Antivirüs. Linux dosya virüslerini tanıma oranı yüksek.
|
Şu ana kadar tespit edilen Linux dosya virüslerinin birçoğunu Antivirüsler tespit edebilmektedirler.
Fakat Ocak(2005) ayında, virüsler hakkında bilgi içeren bazı e-dergilerde yayınlanan virüsler arasında ilginç Linux dosya virüsleri mevcuttu. Bunlardan birinin özelliği, dosyalara bulaşmasının yanı sıra sistemde bir arkakapı(backdoor) oluşturmasıyla dikkat çekiyor. Bu virüs aktif hale gelirken kullanıcının root olup olmadığını kontrol etmekte.
Eğer bu virüsü root aktif etmiş ise port 5556 yada başka bir kullanıcı virüsü aktif etmişse port 5555 i dinlemeye alıyor. Böylece sisteme dışarıdan müdahale edilmesine olanak veriyor. Bu virüsün bulunduğu bir sistemde çalışan uygulamalar kontrol edildiğinde;
$ ps -aux
...
...
honeypot 3478 0.0 0.8 2456 1108 ttyp0 S 19:09 0:00 //bin/sh
...
...
yukarıdaki sonuç elde edilir. Çalışan süreçlerde //bin/sh görülmesi düşündürücüdür. Virüs tarafından kontrol edilen port incelendiğinde aşağıdaki çıktıya benzer işlemler gerçekleşir.
honeypot@ttyp0[tester]$ telnet 192.168.0.1 5555
Trying 192.168.0.1...
Connected to 192.168.0.1.
Escape character is '^]'.
ls
: command not founds
ls; <- her komut sonrası ;(noktalı virgül) işareti konur.
amon
bash
bash.txt
cp
cp.txt
Yine eski bir Linux dosya virüsüne örnek verelim. Antivirüs programları bu virüsü Linux.Gildo(ELF_GILDO.4096 / Unix.Gildo.A) olarak tanıyor. Kendini dosyanın orta kısmına ekliyor. Bulaşma işlemini gerçekleştirmek için kök(/) dizinden itibaren dosyaları taramaya başlar. Virüs aktif hale geçtiğinde;
Gildo virus
email
Gildo@jazz.hm
(for comments)
mesajı belirir.
Bulaştığı dosyaların içerisine şu mesajı ekler:
hello, nice boys, I hope you will enjoy this program written with nasm. I want to say thanks to all my programmers friend.Bye from Gildo.
|
|
Gildo virüsü: Bulaştığı dosyanın ortasına eklediği mesaj kolaylıkla görülüyor.
|
Virüsleri artık bilgisayarlarla uğraşmaya başladığımız anlardan itibaren sıkça duymaya başlıyoruz. Bir çok virüs sadece dosyalara bulaşmakla kalmıyor, arka kapı ve düşünceleri zorlayacak kadar bir çok işlemleri gerçekleştiriyor. Bu nedenle kullanılan yazılımlara dikkat etmek gerekir. Her ne kadar Linux sistemde bir dosya virüsünün olma olasılığı çok düşük olsada, her şey kullanıcıların yapabildikleriyle sınırlıdır.
Tacettin Karadeniz
tacettin[@]olympos.org