Rootkit`leri gizlice sisteme sızdırmak, belgeleri okumak, telefonları dinlemek. Hepsi akıl almaz ölçüde kolay. Çözümü ise burda Sisteminizi bir güvenlik duvarıyla, arttı virüs programlarıyla veya servis paketleriyle koruma altına alabileceğinizimi sanıyorsunuz? Sisteminiz bu sayede bilgi hırsızlığından, korsanlıktan ve internet mafyasının saldırılarından korunabilir mi? Öyle düşünüyorsanız, büyük bir gaflet içindesiniz. Sisteminize en güncel yamayı kurmak tabii ki önemli. Bu sayede, istenmeyen misafirleri sisteminizden uzak tutabileceğiniz de doğru. Ama en güncel yamayı yüklemenin, sisteminizi %100 güvenli kılmayacağını da bilmelisiniz. Hacker`lar "0-Day-Exploit" leri kullanarak, bu bilinmeyen veya yamalanmamış güvenlik açıklan sayesinde sistemlere rahatlıkla girip çıkabiliyor. Hatta fazlasıyla güvenli görülen güvenlik duvarlarını da birkaç saniye içinde aşıyorlar. En korkuncu, bu işlemin sanıldığından da kolay olması. Söz gelimi, özel olarak hazırlanmış ve manipüle edilmiş bir CD ile en korunaklı güvenlik duvarlarını aşmak bile tam bir çocuk oyuncağı.En yeni hacker yöntemlerini, internet üzerinden yapılan en tehlikeli saldırıları ve Rootkit`lerin birçoğunu kendi üzerimizde test ettik. Ortaya çıkan sonuç ise tüyler ürperticiydi. Eğer saldırgan işi ciddiye almışsa, PC nizin kontrolünü ele geçirmesi an meselesi. Bu yüzden sizlere bu yöntemleri ve bu saldırılardan kendinizi nasıl koruyabileceğinizi anlatacağız.

1. Kurban Hakkında Bilgi ;

Her saldırganın bir numaralı kuralı, karşıdaki düşmanı en ince ayrıntıya kadar tanımaktır. Bu işlem web tarayıcı yardımı ile yapılır. İnternet kullanıcılarının %90`ı Internet Explorer kullanıyor. Tüm bu işi daha ilginç hale getiren ise birçok firmanın, bu tarayıcı bilgisayarlara yüklü geldiği için farklı bir ürün kullanmaması. Böyle bir durumda hacker`ın yapması gereken tek iş, kurbanı daha önce hazırlanan özel bir web sayfasına yönlendirmek.

Saldırı başlangıcı: Amacımız, tampon bellek taşması (Buffer Overflow Explo-it) yöntemiyle önce tarayıcının, sonra da PC`nin denetimini ele geçirmek. Bunun için de önce kurbanın kullanıdığı yazılımı bilmemiz gerekiyor. Arkadaşlarımıza daha önce hazırladığımız çevrimiçi tatil albümünü gösterdiğimizde, bu albüm üzerinden bize bağlanan kurbanların kullandığı tarayıcı yazılımları ve sürümleri ortaya çıkar. Bu önemli bir adım, çünkü yazılımın üzerine kurulan her yama işimizi zorlaştırır. Bu yüzden, tam sürümü bilmek büyük bir avantaj. Burada yaptığımız iş çok kolay, çünkü tarayıcı, bağlandığı sayfaya kendi bilgilerini otomatik olarak aktarıyor. Bizim yapmamız gereken tek şey, bu bilgileri web sunucu protokolünden okumak. Yukarda dediğimiz gibi, tarayıcının türünü öğrenmek tek başına yeterli değil; ne tarz bir tampon bellek taşmasından yararlanacağımızı, ancak tarayıcı sürümünü bildiğimiz takdirde belirleyebiliriz. Biz yaptığımız denemede şanslı çıktık. Çünkü kurbanımızın kullandığı Internet Explorer 6 için sık kullanılan bir "0-Day-Exploit" bulabildik. Bu, faydalanacağımız açık için henüz bir yama olmadığı anlamına geliyor.

Sıra geldi hazırlığa başlatmak. Bunun için FrSIRT adlı bir hacker grubundan yardım alıyoruz. Bu hacker grubu yapılabilirlik kanıtı (Proof of Concept) adlı web sayfasında sözü edilen bu açıklardan sisteme nasıl ulaşabileceğinizi ayrıntılı olarak anlatıyor. Bu da tabii ki işimizi son derecede kolaylaştırıyor. Gösterilen örnekte, erişilen PC sisteminde sadece Hesap Makinesi işlevi çalıştırılıyor. Fakat bu bizim için yeterli değil. Bu yüzden script`e bir de arka kapı (Backdoor) ekliyoruz. Böylece istediğimiz yazılımları karşıdaki PC`ye aktarma şansımız olacak, internette bu tür arka kapı yazılımlarına sıkça rastlanıyor. Bulduğumuzu arka kapıları script`e (sayfanın kaynak koduna) eklemek, kopyala yapıştır mantığı sayesinde, fazlasıyla kolay. Evet, sıra geldi kurbanın, onun için özel olarak hazırladığımız sayfaya göz atmasını sağlamaya. Web sayfasının adresini yollarken, resimlerin geçen seferki iş partisine ait olduğunu belirtmekte fayda var. Bu tür bir not, birçok kişinin merakını uyandırır ve genelde işe yarar. Kurbanımız web adresini yazdığını anda Internet Explorer`ı çökecektir. Bu, ona hazırladığımız hediyeyi kabul ettiği, yani arka kapının sorunsuzca kurulduğu anlamına geliyor. Savunma: Firefox veya Opera gibi alternatif tarayıcıları kullanın. Gerçi bu tarayıcılar da hatasız değiller, fakat birçok kişi bunların açıklarını saptamakla pek uğraşmıyor. Bunun nedeni de, hacker`ların büyük bir çoğunluğunun, yaygın şekilde kullanılan Internet Explorer`a konsantre olması. Dikkat etmeniz gereken diğer bir nokta ise, e-posta ile gelen bağlantıları (web adreslerini) gözü kapalı açmamak. Özellikle, konusune olursa olsun, tanımadığınız kişilerden gelen e-postalara bakmayın.

2. Duvar Aşılabilir ;

Saldırganların iki numaralı kuralı, şaşırtma ve kamuflajdır. Bunun için en iyi örnek fazlasıyla masum görünen bir CD`ye bir Truva atı eklemek. Bu hacker`lara büyük bir avantaj kazandıran bir durum. Çünkü kurban tehlikenin ne kadar ciddi olduğunu bilemez. İlginç bir içeriğe sahip bir CD`de bir Truva atının bulunacağına dair kimse şüphe duymuyor.

Saldırı başlangıcı: İlk başta bir arka kapı, ardından da Truva atı yüklemek yerine her ikisini CD`nin içine koymayı denedik. Bu amacımız için oldukça eski olan Bâck Orifice 2000 adlı saldırı paketini kullandık. Back Orifice 2000`in avantajı, açık kaynak kodlu bir yazılım olmasından dolayı, üzerine yüklenen yeni bir kod ve bunları hazır hale getiren derleyici (compiler) sayesinde çoğu anti virüs yazılımı tarafından tespit edilememesi. Truva atının CD sürücüye yerleştirilince kendiliğinden kurulması için NSIS adlı yazılımı kullandık. Bu yazılım, mevcut bir kuruluma istenen dosyaların eklenip kurulmasını sağlıyor. Truva atını sisteme dâhil etmek, bu sayede çok daha kolay. Fakat her şeyin istenildiği gibi gitmesi için kendiliğinden çalıştırma işlevi de unutulmamalı. Bu CD kurulumu başlatıldığında da amaca ulaşılmış olur. örneğimizde, kurbanın klavye tuşları kontrol edilip raporlandı. Bu da bize kurbanın hangi tuşlara bastığını ve kiminle ne konuştuğunu gösteriyor.

Savunma: Bu tür saldırılar için mükemmel bir savunma sistemi ne yazık ki yok. Dolayısıyla e-postalar için söylediğimizi burada da yinelemek zorundayız. Tanımadığınız programları kesinlikle kurmayın. Ne var ki merak bazen bizi hataya düşürüyor. Bu yüzden, yazılımı ilk başta Truva atlarının pek bir zarar veremeyeceği bir makinede sınayın. Bu test makinesinin esas PC sisteminizle bağlantılı olmamasına dikkat edin.

3. Görünmez Olmak ;

Üçüncü ilke şu: Görünmezsen yakalanmazsın. Bunun bilgisayar dünyasındaki anlamı, rootkit`ler ile saldırmak, yani basit bir arka kapı yazılımını bir süper Truva atma dönüştürmek. Bu saldırı çok tehlikeli, zira sisteme bir kez bulaştığında tespiti de temizlemesi de çok güç. Windows için kullanılan en tanınmış rootkit`in adı FU Rootkit.

Bu yazılımın yaptığı iş, zarar verecek yazılımları kullanıcının görev yöneticisinden saklamak. Bu sayede zararlı yazılımları bu sayede saptama imkânı ortadan kalkıyor. Beast gibi modern rootkit`lerse çok daha zararlı. Bu rootkit`ler kendilerini kayıt defterine, TCP/IP bağlantılarına veya sabit diskin bir bölümüne saklıyor. Deneyimli kullanıcıların da bu yazılımları imha etmek şöyle dursun, tespit etmesi bile bir hayli zor. Root-kit`leri temizlemek için, profesyonel yazılımlara ihtiyaç duyuluyor. Rootkit`lerin bu kadar tehlikeli olmalarının nedeni, Windows işlevlerini manipule etmeleri ve bu sayede anti virüs yazılımları tarafından görünmemeleri.

Saldırı başlangıcı: Daha önce hazırladığımız ve iyice donattığımız Back Orifice 2000 yazılımını FU Rootkits ile güçlendiriyoruz. Bu işlem Photoshop`a bir eklenti yüklemek kadar kolay. Yapmamız gereken tek şey bir rootkit eklentisi tanımlamak ve kurmak. Tanımlamada kurbanın hangi dosyaları görüp görmeyeceği belirleniyor. Bu örneğimizde, tüm verilerle birlikte Truva atı yazılımımızı da saklıyoruz; buna protokol verileri de dâhil.

Savunma: Bu tür bir teknolojiye (Ste-alth) karşı korunmak neredeyse imkânsız. Truva atı sisteme bulaştığında ancak Rootkit-Revealer veya Sysinternals gibi yazılımlarla yok edilebiliyor. Fakat bu yazılımları kullanmak için sisteminizi de çok iyi bilmeniz gerekiyor. Aksi takdirde kurulu programların zarar görmesi işten bile değil. Bunun nedeni, işin içine Windows işlevlerinin ve bellek adreslerin de girmesi; bu sayede masum programların da etkilenmesi, örneğin sadece sanal sürücü oluşturmaya yarayan ama Stealth teknolojisini de kullanan Daemon Tools gibi.

4. Telekulak Yöntemi ;

Dördüncü kural: Her şeyi dinle ama hiçbir şeyden bahsetme. Telefonları dinlemek sadece gizli servislerin başvurduğu bir numara değil. Yıllar önce ISDN sistemlerin zayıf noktalarından faydalanan hacker`lar, günümüzde de internet üzerinde gün geçtikçe yaygınlaşan VoIP telefonlarını dinleyebiliyor.

Saldırı başlangıcı: Bu gösteri için Cain & Abel adlı bir hacker yazılımı kullandık. İnternet ortamında rahatlıkla bulunan bu yazılım, çeşitli şifreleri çözmenin dışında, ziyaret edilen internet sayfalarını gösteriyor ve VoIP konuşmalarını da Wav biçiminde kayıt ediyor. Bu yazılımı çalıştırmak için tek gereken, tüm verilerin aktığı ağ bağlantısına bir şekilde dâhil olmak. Ağ bağlantısına dâhil olmak da yerel kablosuz ağa girmek ya da bu ağda bulunan bir sisteme bir Truva atı kurmakla mümkün.

Yazılımı çalıştırdığımızda yapmamız gereken tek şey "Ortadaki Adam" (Man-in-the-Middle) saldırısı ile kurbanın verilerini ele geçirmek. Bunun için Truva atımızdan iletilecek verileri ilk bize göndermesini, sonra da ulaşılması gereken kişiye paylaşırmasını istiyoruz. Evet, merak ettiğimiz bu sayede veriler elimizde. İşin en güzel yanıysa kurbanın bundan bihaber olması.

Savunma: Temel savunma yöntemleri sizin elinizde. Yerel ağınızın MAC adreslerini fıltreleyin. Buna ek olarak, ağda çalışan bir anti virüs yazılımı kullanın. VoIP görüşmelerinizi de Zfone gibi yazılımlarla şifreleyin. Ama unutmayın ki VoIP görüşmelerini şifreleyen programların bazıları servis sağlayıcılar tarafından desteklenmiyor veya VoIP`nin bazı özelliklerinden fedakârlık yapmanıza neden olabiliyor.

5. Veri Hırsızlığı ;

Son ve en önemli ilke, tüm bu işleri yaparken yakalanmamak. Bir Truva atını başkasının sistemine kurmak, kat edeceğimiz yolun sadece yarısı. Diğer yarısıysa, istenilen verilerin sisteminize ulaşması. Aksi takdirde, kurbanın sistemine en tehlikeli Truva atını da kursanız size bir faydası dokunmaz. Unutmayalım, henüz kurbanın ağ yapısı hakkında bilgi sahibi değiliz. Bu yüzden de, kullandığı çeşitli koruma duvarlarına hazırlıklı olmalıyız. Burada özellikle her türlü programı engelleyebilen masaüstü güvenlik duvarlarım gözden kaçırmamamız gerekiyor. Ayrıca her paketin içeriğini inceleyen IDS`ler de (In-trusion Detection System) unutulmamalı. Ancak, kurbanın sisteminden veri yollamak sanıldığı kadar kolay değil. Yollanacak veri, prosedürüne uygun olması ve göze çarpmaması gerekiyor. Hacker`lar bunun farkındalar ve gün geçtikçe yeni yöntemlerle karşımıza çıkıyorlar. Back Orifıce 2000 adlı yazılım için bu prosedüre uygun bir Plugin neredeyse yok. Bulunabilen tek Plugin, verileri oldukça başarılı bir şekilde şifreleyen ve tespiti zor olan STCP. Bu birçok kişi için avantajlı gibi görünebilir. Fakat yeterli değil. Çünkü bazı yazılımlar onun bir Truva atı olabileceğini görebiliyor. Yinede koruma duvarına rağmen verileri yollamanın yolları da yok değil. Saldırı başlangıcı: En sevilen yöntem, HTTP, SMTP veya DNS gibi zararsız görünen protokollerin iletilmesini sağlayan "tünel". Denememizde, tüm güvenlik noktalarını geçmek için DNS tüneli kullanmayı uygun gördük. Yaptığımız iş, verilerin alan adı (domain name) paketleri halinde gönderilmesini sağlamak. DNS protokolü sorunsuz bir internet haberleşmesi için geliştirildiğinden, paketlerin %90`ı güvenlik duvarlarının engeline takılmıyor. Örneğimizde IDS`in herhangi bir kuşkusu olmaması için verileri şifreliyoruz ve mümkün olduğunca az paketin yola çıkmasını sağlıyoruz. Bu dikkate alınması gereken bir özellik, çünkü paket trafiğinin artması IDS tarafından anında tespit ediliyor ve yazılımın kullanıcıyı uyarmasına neden oluyor. Bunu yaptıktan sonra sıra geldi Desktop Firewall`u kandırmaya. Sızma saldırısı (injection attack) adlı bir yöntem sayesinde, güvenlik duvarının durdurmadığı bir program kullanmamız gerekiyor. Örneğin, kurbanın web tarayıcısı. Kurban`ın Internet Explorer ya da Firefox kullandığı, Truva atımız sayesinde, Windows kayıt defterinden okunabiliyor.Ayarlar yapıldıktan sonra, geriye kurbanımızın web tarayıcısını çalıştırmasını beklemek kalıyor. İşte, hepsi bu kadar. Truva atımız emrimize amade. Denemek için, kurbanın sisteminden bir Word belgesini başarıyla indiriyoruz ve güvenlik duvarının ruhu bile duymuyor. Savunma: Hacker`larla güvenlik firmaların kedi köpek oyunu en belirgin haliyle burada yaşanıyor. Güvenlik duvarları, virüs tarama programları ve IDS`ler gün geçtikçe daha çok saldırıyı yakalayabiliyor. Öteki tarafta ise sürekli yeni saldırı yöntemleri geliştirilmekte. Saldırganın kurbanı hakkında bilgi sahibi olması, saldırının daha kolay gerçekleşmesini sağlıyor. Hemen her güvenlik önlemine karşılık düşen bir de atlatma yöntemi mevcut. Bu yüzden, sisteminize en güncel güvenlik yamalarını ve en son çıkan koruma yazılımlarını kurmayı ihmal etmeyin..