PORTLARIN
KONTROLÜ:
Yazımızda da belirttiğimiz gibi trojanlar açık olan portlar aracılığıyla
diğer bilgisayar ile irtibat kurar. Artık neredeyse tüm yeni trojanların
portlarını değiştirmek mümkün olmaktadır. Fakat trojan kullanmayı seven
arkadaşlar genellikle port ve diğer ayarlarını değiştirmeden kullandıkları için
default olarak trojanlar tarafından kullanılan portların bilinmesinde fayda
var(en azından çok kullanılan trojanların). Peki sisteminizde tehlikeli bir
port un açık olduğunu nasıl anlayabiliriz. Burada yine windows imdadımıza
yetişiyor. Başlat-Programlar-MsDos komut istemi çalıştırılırsa karşımıza ms-dos
ortamı çıkar. Burada
c:\windows>netstat
-an
yazıp
enter a basarsanız o anda bilgisayarınızın iletişim halinde olduğu bilgisayar
ile arasındaki kullanılmakta olan portlar ve ip numaraları gösterilir.
(Portları kontrol için totostat adında bir programı tavsiye ederim. Netstat ile
aynı işlemi yapıyor. Kullanımı daha pratik. Buraya
<http://members.xoom.com/bayramaltun/totostat.zip> tıklayarak
download edebilirsiniz.)
Yerel
adres sizi, yabancı adres bağlantı kurduğunuz karşı bilgisayarı gösterir.
Dikkat edersek 54321 ve 31337 numaralı portlar açık görünüyor. Bunlar
kesinlikle bilgisayarda trojan olduğunun göstergesidir. 54321 schoolbus 31337
BO trojanın kullandığı default portlardır. Ayrıca aktif olan iki bağlantı var.
Bunlardan ikisi de bir web sayfasına bağlı olduğumuzu gösteriyor. Şayet web
sayfasına bağlanırsak karşı bilgisayarın kullandığı port olarak 80 (8080 de
olabilir.), mail server a bağlanarak mailleri kontrol ediyorsak 110, ftp
programı ile web sitemize dosya gönderiyorsak 21, telnet ile bağlantı kurmuş
isek 25 numaralı portlar yabancı bilgisayarın açık portları olarak görünür.
Bunun haricindeki portlardan yapılan(yabancı bilgisayarın portları) bağlantılar
tehlikeli olabilir. Fakat ve Chat ve proxy istisnası var. Chat programı karşı
tarafın 6667, 7000 gibi portlarını açabilir. Eğer internete bir proxy üzerinden
bağlanıyorsak bağlantı yapılan bilgisayarın portu 1080 olarak görünebilir(tabi
ki proxy istisna bir durumdur. Çoğu kullanıcı normal bağlantı kurar.)
Bir
portun açık olması bağlantı kurulduğu anlamına gelmez. Yukarıda görüldüğü gibi
54321 numaralı port açık fakat yabancı adreste bir bağlantı görünmüyor. Bu o
anda bağlantı olmadığını gösterir. 54321 numaralı porta bir bağlantı olduğunu
görmüş olsaydık. Kesinlikle birisinin bilgisayara girdiğinden bahsedebilirdik.
BİLGİSAYARINIZIN
KULLANDIĞI PORTLAR:
Port.zip <port.zip>dosyasını alarak öğrenebilirsiniz.(Dosyanın
ismi üstüne tıklarsanız kopyalanmaya başlar. Dosya çok uzun olduğu için
yazılmadı.)
TROJANLARIN KULLANDIĞI
PORTLAR:
Aşağıda gösterilen port numaraları server
dosyasının ayarları değiştirilmediği sürece doğrudur.
TROJAN İSMİ
|
KULLANDIĞI PORT
|
|
|
icqtrojana
|
4950
|
girlfriend
|
21554
|
|
|
bo
|
31337
|
ftp99cmp
|
1492
|
master paradise
|
40421
|
fire hotker
|
5321
|
sockets de
troje
|
30303
|
executor
|
80
|
gate crasher
|
6969
|
hackers
paradise
|
456
|
hack99 keyloger
|
12223
|
netspy
|
31339
|
net monitor
|
7300
|
subseven
|
1243-27374
|
invasor
|
2140
|
Wincrach 1.03
|
5742
|
Wincrach 2.0
|
2583
|
Silencer
|
1001
|
Devil
|
65000
|
Millenium
|
20001
|
Phineas
|
2801
|
Backdoor
|
1999
|
Evilftp
|
23456
|
Phasezero
|
555
|
Psyber
Streaming Server
|
1509
|
SSTROJG
|
11000
|
Voice Client
|
1514
|
Netbus
|
12345-20034
|
Schoolbus
|
54321
|
MAİL BOMBALARI:
İnternet ortamında mail hesabının olması
olmazsa olmaz şartlardan birisi. Ne varki insanların rahatı onları rahatsız
eden kötü niyetli kişiler tarafından yazılan mail bomber lar ile mail hesabınız
işleyemez hale gelebilir. Sahip oldukları bir mail bomber programı ile istediği
mail hesabına sayısı oldukça yüksek mail gönderebilirler. Mail göndermenin ne
zararı olabilir diyebilirsiniz. Fakat mail hesapları belli bir kapasiteyle
sınırlıdır. Mesela 5 Mb kapasiteye sahip mail hesabınıza her biri 20 Kb lık 300
e-mail gönderilmesi durumunda hesabınız çalışamaz durumu gelecek ve size gelen
mailler yerine ulaşamayacaktır.
Bu operasyonun zarar vermek isteyen kişiye
kaybettirdiği zaman ise sadece yarım saattir. O yarım saat sörf yaparken aynı
zamanda program size mailleri gönderecektir.
NÜKELER:
Windows işletim sistemi (özellikle Win 95)
aslında sanıldığı kadar kusursuz değildir. İşte nuke diye bilinen programlar
işletim sisteminizin bu açıklarını iyi bilen ve sürekli yeni açıklar bulmaya
çalışan programcılar tarafından yazılan programlardır. Çeşitleri bir hayli
fazladır. Özellikle win 95 işletim sistemini tehdit ederler. Mavi ekran
hataları sonrası sisteminizin yeniden başlatılması, hattınızın kopması(şu an
çok popüler olan ve modem resetleyici diye bilinen nuke çeşitlerine karşı ise
korunma neredeyse imkansız) ya da internette sörf hızınızın yavaşlamasına sebep
olan değişik bir çok çeşidi vardır. Hatta çoğu kullanıcı sürekli hattan
düştüğünü ve bunun nedeninin internet servis sağlayıcısı olduğunu zanneder.
Gerçekte işler biraz farklıdır. Bunu anlamanın en kolay yolu ise
firewall(aşağıda anlatılacak) diye bilinen programlardan birinin sisteminize
kurularak saldırılara şahit olmanızdır. Hatta işin boyutları o kadar büyümüştür
ki. Nuke programları temin eden sitelerden bazıları işin çığırından çıktığını
fark ederek bu işi yapmaktan vazgeçmiş, hatta koruma yollarını anlatmaya
başlamışlardır. Bilgisayar kullanıcılarının büyük bir çoğunluğu internette
güvenlik meselesinin halâ lüks olduğunu zannetmektedirler. Hedef kitle ise bu
çoğunluktur. Aşağıda anlatılacak tekniklerin uygulanmasıyla internette rahatça
sörf yapabilecek yapılan saldırıları çoğunlukla emin olarak tebessüm ederek
seyredeksiniz. Nukelerden yüzde yüz korunmanın bir yolu yoktur. Fakat güvenlik
için uygulanacak teknikler sayesinde büyük çoğunluğu bertaraf edebilirsiniz.
Hatta nuke atanların çoğu işin teknik detayını bilmeden ellerindeki nuke
programını kullanan liseli öğrencilerdir.
VİRÜS:
Virüsler bilgisayarınızda sizin isteğiniz
dışında çalışarak zarar veren programlardır. İnternet dünyasının gelişmesiyle
yayılma hızları da bir hayli artmıştır. Boot sektöre bulaşarak orada
yaşayanlardan, programlara kendini enjekte edenlere, FAT da bozuk sektör
göstererek hard diskinizde kendine yer sağlayanlara kadar bir çok çeşidi
vardır. Bulaşma yolları ise aynıdır. Virüs bulaştırılmış herhangi bir disketi
okumanız veya yine virüslü bir programı çalıştırmanız durumunda kendisinin
önceden belirlediği saklanma stratejisine göre(az önce bir kaçını
sıralamıştık.) bilgisayarınıza bulaşarak aktif hale geçebilir.( Sisteminizde
kurulu bir virüs tarama programınız var ise bulaşma anında anti virüs
yazılımınız aktif hale geçerek sizi uyarır.) Aktif hale geçen virüs programı
ise gelişen şartlara göre sisteminize zarar verebilir. Gelişen şartlar diyorum
çünkü, Dos 6.22 li işletim sistemlerinin kullanıldığı zamanlarda kullanılan
zarar verme teknikleriyle şu an kullanılan teknikler sayıca biribirinden
farklıdır. Mesela modemlerin yaygın olduğu günümüzde modeminizi kullanarak
milletler arası arama yapan ve yüklü telefon faturalarının gelmesine sebep olan
virüs çeşitlerinin eskiden olmasına imkan yoktu çünkü modem fazla kullanılan
bir donanım değildi. Virüslerden korunmanın en iyi yolu ise Anti-virüs
yazılımlarını kullanmanız ve şüpheli bulduğunuz programları mümkün oldukça
sisteminize kopyalamamanızdır. Şayet yine de sisteminize bir virüsün girmesine
mani olamamış iseniz. Bilgisayarınızı Dos ortamında çalıştırarak virüsleri
bulup yok etmeye çalışabilirsiniz.(Norton ve Mcaffee programlarının Dos
ortamında çalışan parçaları mevcuttur.)
Bilinen en iyi anti virüs yazılımları Norton
ve Mcaffe programlarıdır. Fakat bunlardan Mcaffe sistemi diğerine göre daha
fazla yavaşlattığından dolayı benim tercihim Norton un anti-virüs
yazılımıdır.(Norton 5.0 ve Mcaffee 4.0.5 programlarını cracklı hali ile
Download bölümünden alabilirsiniz.) Virüs tarama programları sadece virüslere
karşı etkili değildir. Aslında isimleri anti-virüs yazılımları olsada daha
sonra açıklayacağımız trojanlara karşı da bilgisayarınızı korurlar. Anti-virüs
yazılımları sisteminizi korurken iki yöntemi kullanır. Normal olarak her
virüsün bir bilgisayar kodu vardır. Virüs tarama programları bir dosyayının
virüslü olup olmadığını veri bankasında bulunan, bilinen virüs kodlarıyla,
kontrol ettiği programın kodlarını kontrol ederek yapar. Şayet kontrol ettiği
programın kodu virüs tarama programımızın veri bankasında bulunan virüs
kodlarından birini içeriyorsa program virüslü kabul edilir. Yazılanlardan da
anlaşıldığı gibi virüs tarama programımızın veri bankası ne kadar zengin ise
virüs ve trojanlara karşı da o kadar rahat olabiliriz demektir. İş te bu
noktada virüs tarama programımızın veri bankasını güncellemek son derece
önemlidir. Eski veri bankasına sahip bir anti-virüs programının size pek bir
faydası olmaz. Anti-virüs yazılımlarının kullandığı ikinci yöntem biraz
farklıdır. Diyebilirsiniz ki anti-virüs yazılımı ne kadar güncellenirse
güncellensin. Sonuçta bir yerlerde birilerinin yazdığı virüs ve ya trojanlar
anti-virüs yazılım şirketlerinin veri bankalarına dahil olmadan bize
bulaşabilirler. İşte anti-virüs yazılımlarının kullandığı ikinci teknik bu
endişe düşünülerek tasarlanmıştır. Bu yönteme göre virüs veya trojanlar
bilgisayar sistemlerinde benzer davranışlar sergilerler. Mesela diskete yazma
ve okuma işlemlerini gerçekleştiren interruptı kontrol ederek herhangi bir disk
veya disket okunmaya başlandığında aktif olarak kendini disk ve ya disketin
boot sektörüne bulaştıran boot sektör virüsleri gibi bir çok virüsün
hayatlarını devam ettirebilmeleri için benzer davranışları sergilemesi gerekir.
İşte bu davranışlar bilindiğinde virüslerin kodları olamasa da virüs davranışı
sergileyen programlar tesbit edilerek yakalanır. Sonuç olarak sahip olduğunuz
iyi bir virüs tarama programı sayesinde (aynı zamanda sürekli güncellenen)
virüslerin saldırısından büyük çoğunlukla korunmuş olursunuz.
ŞİFRELEME:
İnternet dünyasında şifre kullanımı oldukça
yaygındır. Mail alırken, site kurarken, internete bağlanırken ya da herhangi
bir şekilde güvenliğimiz için bir çok güvenlik şifresi kullanmak zorunda
kalırız. Fakat bizim için oldukça önemli olan şifrelerimiz şayet yeterince
güçlü (az sonra açıklanacak) değilse başkaları tarafında bulunabilir ve bu da
bizim için pek de iyi olmayabilir. Örneğin mail hesabınıza ait şifreniz şayet 4
basamaklı rakamlardan oluşuyorsa, şifrenizin çözülmesi için yaklaşık 15 dk
sürecektir(tabi mail server ın hızına da bağlı). Şayet şifreniz 5 basamaklı bir
sayı ise yaklaşık 90 dk içinde şifreniz bulunacaktır.(tabi bu arada mail
hesabınızın user name ini hesaba katmıyoruz, çünkü çoğunlukla mail hesabındaki
isim olacaktır.). Şonuçta doğru orantılı olarak 6, 7 ya da 8 basamaklı
sayıların ne kadar zamanda çözülebileceği malum. Şonuç olarak şifreniz güçlü
değilse isteyen birisi biraz azimle buna ulaşabilir. Gelelim güçlü şifre işine.
Güçlü kabul edilen şifreler içerisinde büyük, küçük harfler, rakamlar ve özel
işaretler olan şifrelerdir. Şayet şifreniz b iraz önce saydığımız farklı
gruplardan elemanlarla oluşmuş ise çözülmesi neredeyse imkansız güçlü bir
şifredir.
FİREWALL:
Firewall diye bilinen programlar,
bilgisayarınızın portları ile internet arasına yerleşerek yapancı veya sizin
onaylamadığınız girişimlere mani olurlar. Özellikle bilgisayarınızda bir trojan
var ise bile firewall sayesinde, trojan ile başkalarının size ulaşmasını önler.
Biraz önce söylemiştik, firewall virüs veya trojan bulmaz sadece internete
giriş kapılarınız olan portların önünde durarak istemediğiniz giriş ve
çıkışlara mani olur. Bu durumda haberiniz olmadan bilgi girişi veya çıkışı
olmaz. Tüm kontroller sizin elinizdedir. Tabiiki iş bu kadar kolay değil bu
programların da bir takım ayarlamaları var fakat bu ayarlamaları öğrendikten
sonra geriye sadece saldırıları gülerek seyretmek kalıyor. En iyi bilinen
firewall programları Norton İnternet Security 2000, Conseal Pc Firewall ile
Black İce dır. Fakat bunlar ücretlidir. Ücretsiz olan Zone Alarm programı da
vardır. Ayrıca Firewall programlarında saldıran kişinin ip numarası da
yazıldığı için karşı atak için kullanılabilir.
Kaynak:Wardom.org