Aşağıda değindiğimiz ve bilgisayar korsanlarının en çok uyguladıkları saldırı yöntemleri olan truva atları (trojan), solucanlar (worms), arka kapı (backdoor), ağı dinleme (sniffing), IP yanıltması(spoofing) ve sanal dolandırıcılık(phishing) saldırı yöntemlerinin tamamı olmayıp sayısız saldırı yöntemlerden en önemlileridir.

Sisteme Nasıl Giriyorlar?

Bilgisayar korsanları genelde sisteme iki türlü giriş yapmaktadırlar. Bunlardan birincisi fiziksel giriş olup; saldırgan bilgisayarı direkt kullanabilme ortamı bulduğu anda ya sabit diski kopyalayarak ya da sistemde daha sonra kullanmak üzere açık kullanıcı yetkisi bırakarak sağlamaktadır. Günümüzde bios şifrelerinin bile fabrika çıkışı tanımlı şifreleri geçerli olduğundan sistemi güvenli bir ortamda bulundurmak oldukça zor. Sisteme girdikten sonra düşük seviyeli kullanıcı yetkisine sahip birisi; işletim sistemi güvenlik güncellemeleri yüklememiş ise ekstra yetkiler sahip olabilmektedir.¹

Sisteme saldırı türünün ikinci türü ise uzaktan erişimdir. Bir sisteme ağ üzerinden giriş olarak tanımlanır ve hiçbir yetkiye sahip olmadan sisteme girmeye çalışan kişi çeşitli teknikleri kullanarak kendisine sistemde bir yer edinebilir. Sisteme saldıran ile sistemin arasında bir güvenlik duvarı var ise, saldırıyı yapanın işini güçleştirmek mümkündür. Her yeni çıkan yazılımı yamasız kullanmanın neredeyse imkânsız olduğu günümüzde sistem yöneticilerinin bunları takip etmesi de zorlaşmaktadır. Bir sisteme girmeye niyetli kişinin yapması gereken bu güvenlik açıklarını sırayla denemektir.

Telnet, Dosya Transfer protokolü (FTP), Hiper Text Transfer Protokolü (HTTP) gibi protokoller şifreleri kodlamadan sunucuya göndermekte. Protokol analiz yazılımı kullanan biri hattı dinleyerek şifreleri ele geçirebilmektedir. Şifreleri kodlayarak gönderen protokollerde ise saldırıyı yapan bir sözlük ile kodlamayı çözmeye çalışmaktadır. Çoğu zaman saldırıyı yapan kişi pasif modda olduğundan teşhis edilememektedir. Relay attack saldırısında kişi kendi sistemini ayarlayarak şifrenin kodunu çözmeden aynı kodu kullanarak karşı sisteme bağlanmaya çalışmakta ve saldırı yapan kişi Windows NT’de SAM dosyası ya da UNIX tabanlı sistemlerde /etc/passwd şifre dosyasını alıp kırarak sisteme girişi sağlayabilmektedir.²

Bilgisayarları birbirine bağlayan ağ büyüdükçe ve iletişim kurmaya izin veren yazılımlar arttıkça tehlikeler de büyümeye başlıyor. Bir zamanlar bilgisayarların hack edilmesi demek parola korumalı bir bilgisayara, veritabanına veya güvenlik sistemine izinsiz bir şekilde girmek demekti. Ancak günümüzde bilgisayarlarımıza kurduğumuz hemen hemen tüm yazılımlar iletişim kurmaya yarıyor. Örneğin yalnızca mp3 müzik dinlemek için kullandığımız winamp programı, aynı zamanda internetten sürekli bilgi alan ve gönderen bir program. Durum böyle olunca hackerlar için programların sahip oldukları bu yetenek bulunmaz bir nimet haline geliyor.³

Truva Atı (trojan)

İnternet, disket ve diğer ağ bağlantıları yoluyla sisteminize bulaşan, görünüşte masum ve başka hiçbir şey yapmıyor görünen ama arka planda sinsice çalışarak hasarlı veya hasarsız başka işlemler yapan programlara truva atı (trojan) denmektedir.

Truva atının kendisi bir virüs değildir. Kendi kendini çoğaltmaz, sadece sabit diskteki bilgilere zarar verir. Truva atı kendisini zararsız bir program gibi (örneğin bir oyun ya da yardımcı program) gösterir. Görünümü ve ilk çalıştırıldığındaki aktivitesi zararsız bir program gibidir. Çalıştırıldığında verileri silebilir veya bozabilir. Bir truva atı, virüs içerebilir ancak kendisi bir virüs değildir.⁴

Truva atı genelde sistem her açıldığında gerekli Windows sürücüleri ile birlikte yüklenirler Truva atı dosyası çalıştıktan sonra da yaptığı şey, kendisine ulaşılmasını sağlayacak sanal yolu (port) açmaktır. Bu programcıklar genelde arka planda çalışırlar.

Genel olarak bir truva atı programı 2 kısımdan oluşur: istemci kısmı ve sunucu kısmı. Sunucu kısmı, hedef seçilen kişinin bilgisayarında, istemci kısmı ise diğer bilgisayarda yani uzaktan yöneten kişinin bilgisayarında çalışır. Sunucu kısmı hedefteki kişiye gönderilmeden önce gideceği adres, port, nerede saklanacağı gibi gerekli ayarlamalar yapılır.⁵

İşletim sisteminizde 65536 tane sanal port bulunur, web sitelerine bağlanmak için 80 numaralı portu, dosya transfer işlemleri için 21 numaralı ftp portu gibi bazı portlar genel amaçlı olarak kullanılırlar. Firewall yazılımı ile bu portları kapatıp/açabilir, istem dışı kullanılmasını önleyebilir ve gerekli olanları açık bırakarak web sayfalarında dolaşmaya devam edebilirsiniz.⁶

Truva atlarına karşı alınabilecek önlemler:

Öncelikle hiç bir truva atı siz izin vermediğiniz takdirde sizin bilgisayarınızda çalışmaz yani internet ortamında tanımadığınız kişilerden gelen hiç bir dosyayı (özellikle sonu .ini ve .exe olarak biten dosyaları) almayın böylece truva atlarından kurtulmuş olursunuz. Fakat genelde truva atı programları istenilen herhangi bir programın içerisine bulaştırılabildiği için siz farkında olmadan bilgisayarınıza truva atı almış olabilirsiniz bunu engellemenin en iyi yolu anti virüs programları kullanmaktan geçiyor.

Anti virüs yazılımının sürekli güncellenmesi hayati öneme haizdir. Sürekli güncellenmeyen bir virüs yazılımının etkinliğinden söz etmek mümkün değildir. Eğer siz bilgisayar kullanıyor ve internette sürekli geziniyorsanız mutlaka anti virüs programları ve nasıl güncelleneceği konusunda makale okumanız ve birkaç araştırma yapmanız gerekmektedir.

Solucanlar (Worms)

“Solucanlar” virüsler ile aynı prensipten gelir. Kendilerini kopyalama yöntemi ile çoğalmayı hedeflerler. Kendi özellikleri olmamasına karşın, bunlar mantıksal bombalar taşıyabilirler. Virüsler ile solucanlar arasındaki en önemli fark, solucanların virüsler gibi bir yayılma aracı olarak programları kullanmaması, bunun yerine ağ içinde kullanılan elektronik ileti gibi servisleri yayılma aracı olarak kullanmalarıdır. Solucanların teknik seviyeleri biraz daha yüksektir, ağ servislerini sağlayan yazılımların açıklarını bularak kendilerini uzak makineye kopyalarlar. En güzel örneği 1998 yılındaki “Internet Worm” adı verilen solucandır.⁷

Çoğalma işinin yanında çoğu solucanlar asıl zararlı fonksiyona sahip başka bir virüsü de içerirler. Melissa ve Loveletter gibi bilinen makro ve script virüsleri solucan olarak da yayılırlar. Yani solucanlar kendi içinde çalıştırılabilir kodlar taşırlar.

Solucanlara (Worms) karşı alınabilecek önlemler:

Güncel anti-virüs yazılımları kullanılmalıdır.

Windows sürücüleri ve klasörleri etkili bir şifre koruması ile paylaşıma açılmalıdır.

Her zaman internet tarayıcı programının en güncel sürümü kullanılmalıdır ve programın güncellemeleri aksatılmadan uygulanmalıdır.

En yeni Outlook güvenlik yamasını kurunuz.

Arka Kapı (Backdoor)

Arka kapılar kullanıcının sistemine gizlice giren ve kullanıcının haberi olmadan bağlantı kuran programlardır.

İnternet üzerinden, bu elektronik arka kapıdan hedef bilgisayara bağlanılıp kullanıcının neler yaptığı takip edebiliyor, dosyalarını silebiliyor, programları çalıştırabiliyor hatta tüm sabit diski formatlayabiliyorlar. Arka kapı truva atlarının bir alt türüdür denilebilir. Bir Arka kapı çoğunlukla faydalı bir program şeklinde gelmekte veya yayılmak için bir solucan (worm) mekanizması kullanmaktadırlar.⁸

Arka Kapılara (backdoor) karşı alınabilecek önlemler:

Güncel anti-virüs yazılımları kullanılmalıdır.

Çoklu uzantısı olan dosyalar asla açılmamalıdır. Örneğin resim.bmp.exe gibi İnternetten gelen erişimleri bloke eden bir güvenlik duvarı sistemi kullanılmalıdır.

Güvenliği Olmayan Trafiği Yoklama (Sniffing)

Eski tip ethernet hub çoklayıcı kullanılan ortamda hattı dinleyen bir yazılım (sniffer) konulduğunda o ağdaki veri trafiğini dinlemek mümkün olmaktaydı. Günümüzde birçok ortamda anahtarlı ethernet kullanıldığından bu giderek zorlaşmaktadır. Anahtarlı ethernet kullanılan ortamlarda ise yazılım sunucu sistemine kurulduğunda istemci makinelere ve güvenilir ağ alanındaki makinelere girmek mümkün olmaktadır. Bu durumda Telnet ile bir sisteme bağlandığınızda ağı dinleyen biri varsa, şifreniz başkasının eline geçebilmektedir. Uzaktan dinleme (remote sniffing) yönteminde ise bütün trafiği dinleyemeyeceğiniz için belirli bölgelerin adreslerini içeren Remote Monitoring (RMON) yazılımları bulunmaktadır.⁹

IP yanıltması (spoofing):

Spoofing bir paketin IP kaynak adresi değiştirilerek yerel ağ üzerinde bir makine gibi davranmaktır. Bu durumda veri gönderen bir bilgisayarın yerine geçip onun adına veri yollanır. Bilindiği gibi Transfer Control Protokol (TCP) katmanında üçlü onay söz konusudur. Saldırıyı planlayan kişi bilgisayardan birisi herhangi bir nedenle kapalı olduğunda onun yerine geçip istediği komutları diğer bilgisayar üzerinde çalıştırabilir.¹⁰

Bilgisayar korsanları niçin IP adresini değiştirmek ister? Aslında bu sorunun birçok cevabı vardır. Mesela hedef ağdaki sanal portları taramak isteyen korsanlar, kendi IP’lerini gizleyerek bağlandığı makinelerde iz bırakmak istemezler. Benzer şekilde DoS saldırıları ya da web tabanlı diğer saldırıları yapan hacker’lar da kimliklerinin bilinmesini istemezler. Bu nedenle IP’yi gizlemek saldırganlar açısından önemlidir.¹¹

IP  yanıltmasına karşı alınabilecek önlemler:

Bu tür saldırıları önlemenin kesin yolu yoktur. Kaynak ve hedef adresleri yerel ağdaki bilgisayarlara ait adreslerle aynı olan paketler bir saldırı işaretidir. Bu durum yerel ağın internete ulaşan noktasına bir paket filtreleyici kurularak önlenebilir. Bunun haricinde yerel ağda bulunan bilgisayarların internet üzerindeki bilgisayarlara güvenme özelliği kaldırılabilir. Böylelikle saldırıda bulunan kişi yerel ağdaki bir bilgisayarın güvendiği internet üzerindeki bir bilgisayarın IP adresini kullanamaz.¹²

IP adresine göre yetki veren, özellikle uzaktan erişim sağlayan telnet gibi, programların kullanımı zorunlu değilse kaldırılabilir.

Bu programların kullanımı zorunluysa bunlara ilişkin IP paketleri internete çıkış noktalarında filtrelenebilir.

Sanal Dolandırıcılık (Phishing)

“Phishing” sözcüğüne baktığımızda eski dilde hiçbir anlama gelmediğini görüyoruz. Her yerde kabul gören anlamından bahsedersek, “phishing“, çeşitli dümen ve dolaplarla, başta banka hesapları olmak üzere kullanıcı adı ve şifre, kredi kartı gibi kişisel bilgilerin çalınması demek. Türkçe karşılığı henüz üretilmeyen kelime için biz “sanal dolandırıcılık” şeklinde bahsedeceğiz. Yöntemin uygulandığı hedef bölge içinde bankacılık ve açık artırma siteleri listenin en başında yer alıyor. Sanal dolandırıcılığa en çok alet olan şirketler arasında Citibank, eBay, PayPal ve VISA gelmektedir. Saldırılardan şu an etkilenmemizin nedeni kullanım alışkanlıklarıyla doğrudan ilişkili olması. Ne kadar çok internette para ve kredi kartı kullanımı varsa, dolandırıcıların da yoğunlaştığı bölgeler bu civarlar olacaktır.¹³

Bankalar çoğu zaman bilgilendirme ve duyuru amacıyla kullanıcılarına elektronik postalar gönderirler. Bu postaların yarattığı alışkanlığı kullanan korsanlar ise bir süredir kullanıcılara bankaların logoları ve isimleriyle dolu, resmi dille hazırlanmış e-postalar göndererek, güvenlik nedeniyle şifreleri’ni değiştirmeleri gerektiğini ve bu işlem için onları yine bankanın logosu ve ismiyle hazırlanmış, ciddi ve resmi görünümlü özel web sayfalarına yönlendiriyorlar. Ancak bankanın resmi sitesinde ve güvende olduğunu düşünerek müşteri numarasını ve şifresini kutucuklara yazıveren her kurban birkaç dakika içinde bütün servetini korsanlara devretmiş oluyor.¹⁴

Eğer Internet Explorer kullanıyorsanız daha fazla tehdit altındasınız diyebiliriz. Çünkü açıklardan faydalanmak suretiyle ActiveX kontrolleri veya yanıltıcı uyarılar ile betikler (script) çalıştırarak adres çubuğunun gizlenmesi veya yerine alet edilen şirketin web adresini gösterebilmek de mümkündür.

Secure socket Layer (SSL) yani güvenli soket katmanı kullanımı, görüntülenen sayfanın güvenirliğini gösteren bir işarettir. SSL ile korunan bir site için bir SSL anahtarı alınmışsa bu durumun bir yasal boyutu var demektir. En azından kim olduğunuzu bildirmeden buna sahip olamazsınız, senaryoyu üzerine kurduğunuz şirket adına bir SSL anahtarı edinemezsiniz. Tarayıcıda sağ alt köşede görünen kilit sayfanın güvenli bir protokol içerip içermediğinin göstergesidir.¹⁵

Son günlerde ülkemizde de bu çeşit kullanıcıya yönelik ataklar görülmektedir. Rastlanılan phishing ataklarının temel konusunu internet bankacılığında yeni uygulamalardır. bu tür dolandırıcılık işleminde hedef alınanlar Akbank, Garanti bankası, Finans Bank, HSBC Bankası, Türkiye İş Bankası, Koçbank, Kuveyt Türk ve Yapı ve Kredi Bankası müşterileridir.

İnternet bankacılığı uygulamalarında internet kullanıcılarına e-posta gönderilmektedir. Bu e-posta da ” Tüm internet bankacılığı uygulamalarının Merkez Bankasınca gerçekleştirileceğini ve kullanmakta olduğunuz internet bankacılığına ait kullanıcı adı ve şifrenizi belirtilen alana girilmesini” istemektedir. Bu e-postayı gönderen kişi “T.C. Merkez Bankası” ,gönderen e-posta adresi “merkezbankasi@tcmb.gov.tr” görülmektedir. T.C. Merkez Bankasından gönderilmiş havası verilen bu e-posta tamamıyla kullanıcıyı yanıltmaktadır.¹⁶

Kendi başınıza almanız gereken önlemleri sıralamak gerekirse:¹⁷

Sizden acilen bir bağlantıya tıklayıp kredi kartı, şifre gibi kişisel veya finansal içerikli bilgilerinizi girmenizi söyleyen elektronik postalara kulak asmayın. Bu tarz bir istek karşısında gönderenin kimliğinden emin olmak için herhangi bir dijital imzanın varlığını kontrol edin. Bankanızın sizinle iletişim için kullandığı yazı dilinin benzerliğini karşılaştırın.
Şüpheli e-postalardaki kısa yol ve bağlantılara tıklamayın. Eğer ilgili adres görünüyorsa tarayıcınızın adres çubuğuna elle yazarak siteyi kontrol edin ya da böyle bir isteğin belirtilen şirket tarafından yapılıp yapılmadığını müşteri hizmetlerini arayarak teyit ettirin.

E-posta üzerinden ulaştığınız sitelere kredi kartı, kullanıcı adı, şifre gibi bilgi girişleri yapmayın. Bu tarz bilgilerinizi sadece güvenli iletişim kuralı ile bağlandığınızda girmeye özen gösterin. Bunu anlamak için adresin “https://” ile başlayan bir ifade olmasına ve kilit simgesinin varlığına dikkat edin.

Düzenli olarak hesaplarınızı ve hesap ekstrelerinizi kontrol edin. Oluşabilecek olası aksiliklerde bankanızla görüşün.
Tarayıcınızın gerekli güvenlik yamalarına sahip olduğundan emin olun. Internet Explorer (IE) için güncellemeleri windowsupdate.com adresinden gerçekleştirebilirsiniz.

Şüpheli görünen elektronik postaları ilgili kurum yetkililerine ve güvenlik birimlerine bildirin.

Yazılım tabanlı saldırılara karşı anti virüs ve güvenlik duvarı uygulamalarınızı sürekli güncel tutmaya özen gösterin.

Güvenilirliğinden şüphe duyduğunuz bilgisayarlardan (internet kafe, birkaç kişinin kullandığı bilgisayarlar) banka ve benzeri işlemlerinizi gerçekleştirmeyin.

Yazan: Günay ŞATANA

Yararlanılan Kaynaklar:

1. Sistemine Girerim, PCWorld Bilgisayar Dergisi, Şubat 2004, s.32
2. Murat Yıldız, Hacker Yöntemleri, PCWorld Bilgisayar Dergisi, Şubat 2005, s.34
3. Sanal Dünya Sahtekârlığı, Byte Bilgisayar Dergisi, Nisan 2006, s.78
4. http://www.virusguvenlik.com/xfiles_trojan_nedir.php (13.05.2006)
5. Davut Yılmaz, Hacking Bilişim Korsanlığı ve Korunma Yöntemleri, Hayat Yayıncılık, İkinci Baskı, İstanbul 2004, s.265
6. Sistemine Girerim, PCWorld Bilgisayar Dergisi, Şubat 2004, s.31
7. http://www.linuxfocus.org/Turkce/September2002/article255.shtml (10.05.2006)
8. http://www.bilgisayardershanesi.com/guvenlikvirusler.htm (10.05.2006)
9. Sistemine Girerim, PCWorld Bilgisayar Dergisi, Şubat 2004, s.33
10. Aynur Müge Taşer, İnternet’te Güvenlik ve Firewall Uygulaması, , İstanbul Ün.,Fen Bilimleri Ens., Yayınlanmamış Yüksek Lisans Tezi, İstanbul, Haziran 1997, s.24
11. Yılmaz, a.g.e., s.266
12. Burak Erinç, İnternet’te Güvenlik Sorunu ve Firewall Kullanılarak Güvenliğin Sağlanması, Marmara Ün., Fen Bilimleri.Ens., Yayınlanmamış Yüksek Lisans Tezi, İstanbul 2002, s.17
13. Erhan Abay, Sanal Dünya Sahtekârlığı, PCWorld Dergisi, Şubat, 2005, s.144
14. Paranızı Çaldırmayın, Chip Bilgisayar Dergisi, Kasım 2004, s.194
15. Abay, a.g.m., s.146
16. http://www.olympos.org/article/articleview/1403/1/10/ (10.05.2006)
17. Abay, a.g.m., s.148