SymbianOS solucanı

Posted on 23 Ocak 2008 by Sinan Taga

US-Cert kullanıcıları SymbianOS sistemini etkileyerek mobil ağlara yayılan bir solucan hakkında uyardı.

SymbOS/Beselo.A! adındaki virüs MMS ve bluetooth aracılığı ile SymbianOS kullanan cep telefonlarını etkileyebilir. Belirttiklerine göre solucan kendini MMS veya bluetooth ile gelen bir dosyanın içinde gizliyor. Eğer kötü kod içeren bu dosyayı kabul ederseniz solucan telefonunuzu da etkiliyor.

Şu anda zararlı dosya bilindiği kadarı bu üç dosya isminden birine sahip

Beauty.jpg
Sex.mp3
Love.rm

Solucanın ne zarar verdiği şu an pek açık değil.

Bu solucandan korunmak için güvenmediğiniz kaynaklardan gelen MMS ve bluetooth mesajlarını ve dosyalarını kabul etmeyin. Ayrıca bluetooth’u da izinsiz erişimlerden korumak için güvenli modda çalıştırın.

Örümcekleri yakalamak

Posted on 17 Ocak 2008 by Sinan Taga

Bir blogunuz varsa ve/veya içerik üreten herhangi bir siteye sahipseniz bu siteniz büyük ihtimalle örümcekler (bot) tarafından ziyaret ediliyordur. Özellikle arama motorları sayfalarınız indekslemek için bu yöntemi kullanıyorlar. Örnek olarak Google’ın örümceği Googlebot periyodik olarak sitenizi ziyaret ediyordur. Bu aslında iyi bir şey. Bu örümceklere yardımcı olmak amacı ile de robots.txt adlı bir dosya kullanılır. Bu dosya kısaca hangi örümceklerin sitede nerelere girmeye ve neleri okumaya veya indekslemeye izinleri olduğunu belirtir. Genelde örümcekler bu sınırlamalara saygı gösterirler. Bütün büyük arama motorlarının örümcekleride bunlara dahil. (Sonradan öğrendim ki MSN hariç. Büyük süpriz!)

Fakat bir örümcek yazmanın çok da zor olmadığı bu zamanlarda etrafta bir sürü kötü huylu örümcek de dolaşıyor. Sitenize gelen bu kötü huylu örümceklerin nedeni büyük ihtimalle ya spam yorumlar ya da içeriğinizi çalmaktır. Ve tahmin edersiniz ki bu kötü örümcekler robots.txt dosyanızı pek takmazlar. Bu benim de başıma geldi hem suaygiri.com’da hem de kişisel sitemde yayınladığım içerikler başka yerlerde ortaya çıkıyordu. İlk önce bunun bir kopyala yapıştır sorunu olduğunu düşündüm. Olabilir de. Ama bazı siteler o kadar fazla çalıntı içeriğe sahip ki bunun sadece kopyala – yapıştır ile olması çok zor gibi gözüküyor. Daha sonra Internet’te content scraping (içerik kazımak) ilgili bir yazı ile karşılaştım. O zaman dank etti.

Ufak bir betik ile bu örümcekleri yakalayıp IP veya “user-agent” sınırlaması ile uzak tutmak mümkün olabilir. Burada bir örneği mevcut.

Çözümün devamı için tıklayın.

UPnP güvenlik açığı

Posted on 15 Ocak 2008 by Sinan Taga

US-CERT‘e göre UPnP kullanan ağ cihazlarını hedefleyen bir saldırı mevcut. Bu saldırı kötü niyetle hazırlanmış bir SWF dosyası içeren bir web sitesi ile çalışıyor. Kullanıcı bu web sitesini ziyaret ettiği zaman router’ın konfigürasyonunda UPnP aracılığı ile değişiklikler meydana geliyor. Bu sayede saldırgan router (veya UPnP kullanan başka bir cihaz) üzerinde istediği parametreleri değiştiriyor.

Şu an için CERT’in tek önerisi cihazlardaki UPnP özelliğini devre dışı bırakmak. Tabii ki bu özelliği devre dışı bırakırsanız UPnP’ye dayalı uygulama ve/veya özelliklerinden faydalamayacaksınız.

Facebook’ta Phishing

Posted on 04 Ocak 2008 by Sinan Taga

Arkadaşlarınızdan bazılarının Facebook hesapları “hack”lenmiş olabilir. Eğer arkadaşlarınızdan “Wall” uygulamanıza mesajlarda linkler varsa bunlara dikkat etmenizde fayda olabilir.

Örneğin bir Facebook sayfasına bağlantı verilmiş gibi gösteren bazı adresler aslında kullanıcı adı ve şifrelerinizi açığa çıkartarak hesabınıza ulaşmak için yapılan numaralar.

http://www.facebook.com.profile.php.id.371233.cn

Yukarıdaki adres ilk bakışta normal bir Facebook bağlantısı gibi görülebilir ama aslında bir Çin websitesine ait. Bu yönlendirmeyi takip eder ve kullanıcı ismi ve şifrenizi girerseniz hesabınız tehlikede demektir.

Bu saldırıdan korunmak için takip ettiğiniz bağlantılara dikkat edin. Bunun haricinde zaten Facebook’a giriş yapmışsanız ve bir linki takip ettiğiniz de tekrar giriş yapmanız isteniyorsa, adresi kontrol edin. Bu büyük ihtimalle bir phishing.

Phishing ve sosyal mühendislik hakkında daha fazla bilgi için bu yazıyı okuyabilirsiniz.

Tatil dolayısı ile Storm Worm adlı solucanda hareketlenme var

Posted on 28 Aralık 2007 by Sinan Taga

CERT‘in açıklamasına göre özellikle şu içinde bulunduğumuz tail sezonu dolayısı ile Storm Worm adlı solucanın yayılmasında hareketlilik var. Bu son hareketlenme yeni yıl mesajlarında kendini gösteriyor. Bu solucan genelde talep edilmemiş mesaj ve e-postalar aracılığı ile sizi kötü niyetli bir kodun beklediği siteler yönlendiriyor. Daha sonra yamalanmamış bir açığı kullanarak veya sosyal mühendislik yöntemlerini kullanarak amacına ulaşıyor.

Solucan Microsoft Windows işletim sistemlerini hedef alıyor.

Kötü niyetli e-posta buarada yazılanlarla sınırlı olmamakla beraber genelde aşağıdaki başlıkları içeriyor.

A fresh new year
A fresh new year…
As you embrace another new year
Blasting new year
Happy 2008 To You!
Happy 2008!
Happy New Year To (emailhere)
Happy New Year To You!
Happy New Year!
It’s the new Year
Joyous new year
Lots of greetings on new year
Message for new year
New Hope and New Beginnings…
New Year Ecard
New Year Postcard
New Year wishes for you
Opportunities for the new year
Wishes for the new year
Christmas Email
Cold Winter Nights
Feel the Holiday Spirit
Find Some Christmas Tail
Ho Ho Ho.s
How.s It Goin
I love this Carol!
Jingle Bells, Jingle Bells
Looking for something hot this Christmas
Merry Christmas From your Secret Santa
Merry Christmas To All
Mrs. Clause
Mrs. Clause Is Out Tonight!
Santa Said, HO HO HO
Seasons Greetings
The Perfect Christmas
The Twelve Girls of Christmas
Time for a little Christmas Cheer.
Warm Up this Christmas
Your Secret Santa

Dosya adları da değişebilir ama genelde şu dosya adları kullanılıyor.

happy-2008.exe
happy2008.exe
stripshow.exe
happynewyear2008.exe

Aşağıdaki web siteleri ise zararlı kodu dağıtmakta kullanılıyorlar. (Tabii bunları ziyaret etmenin riskli olduğunu söylemeye gerek yok)

hxxp://newyearcards2008.com/
hxxp://merrychristmasdude.com
hxxp://ptowl.com
hxxp://uhavepostcard.com
hxxp://yxbegan.com
hxxp://happycards2008.com

Gerekli önlemleri almanız öneriliyor.

Bu yazı CERT websitesinden Türkçe’ye çevrilmiştir.

Sosyal Mühendislik Saldırıları ve Phishing

Posted on 25 Aralık 2007 by Sinan Taga

Küreselleşen Dünya’da artık insanlar birbirlerin her zamankinden daha yakın. Her gün gelişen iletişim teknikleri ile insanlar bilgiye ve birbirlerine daha çabuk erişebiliyorlar. Hızla küçülen Dünya’da yeni tehlikeler de söz konusu. İşte size ileteşim çağımızın getirdiği başlıca sorunlardan bir ikisi.

Sosyal Mühendislik
Sosyal Mühendislik bir alışa gelinmiş bir mühendislik dalı değildir. Peki o zaman nedir?

Sosyal Mühendislik, insan etkileşimini (sosyal yetenekleri) kullanarak insanlara çeşitli şeyler yaptırmak ve/veya insanları bir organizasyon (veya kişisel) hakkında gizli bilgileri açığa çıkartmak üzere manipüle etmeye yarayan tekniklerin toplamına verilen isimdir. Çoğu zaman basit dolandırıcılığa çok benzese bile bu terim genelde bilgi sızdırmak veya bir bilgisayar sistemine sızmak üzere yapılan numaralar için kullanılır. Bu durumların büyük çoğunluğunda saldırgan kurban ile yüz yüze gelmez.

Genelde saldırgan, saygın bir kurumun elemanı olarak gösterir hatta zaman zaman bunu destekleyecek belgeler bile sunabilir. Sorduğu sorular yardımı ile sisteme sızmasına yetecek kadar bilgiyi elde edebilir. Eğer bu bilgi yeterli değilse başka kurbanlardan aldığı bilgileri birleştirerek sisteme sızmaya çalışır.

Phishing
Bir sosyal mühendislik türü olan Phishing, İngilizce “Password” (Şifre) ve “Fishing” (Balık avlamak) kelimelerinin birleşiminden oluşmaktadır. Genelde e-postalar ve/veya sahte web siteleri aracılığı ile kurbanın finansal bilgilerine erişmeyi hedefler. Çoğunlukla saygın bir finans kuruluşundan, hesap detayları kredi kartları veya bir değişiklikle ilgili e-postalar yollayarak, kullanıcıyı şifresini açığa çıkartabileceği bir ortama çekmeye çalışır. Kurban bu sahte isteklere cevap verdiği zaman saldırgan bu bilgileri kurbanın hesabına ulaşmak için kullanır.

Bir kurban olmamak için neler yapabilirsiniz?

Organizasyonun yapısı hakkında bilgi isteyen ve sizin tarafınızdan talep edilmemiş telefon konuşmalarına, e-postalara şüpheyle yaklaşın. Eğer birey yasal bir kuruluştan olduğunu iddia ediyorsa bunu doğrudan o kuruluş ile teyit edin.
Kişisel ve/veya organizasyonunuza ait bilgileri, eğer bilgilere ulaşma hakkı olduğuna yüzde yüz emin değilseniz yabancılara kesinlikle vermeyin.
E-postalarda kişisel ve finansal bilgileri açığa çıkarmayın, eğer bu konuda talep edilmemiş bir mesaj alırsanız cevaplamayın. Buna o mesaj veya e-postadaki bağlantılar da dahildir.
Sizden bilgi isteyen bir sitenin adresinin (URL) doğruluğundan emin olur. Çoğu sahte site bire bir orijinallerinin kopyasıdır ve adresteki küçük değişiklikler dışında aslının aynısıdır. (Ör: .com yerine sahte site .net ile bitebilir veya isimde tipografik hatalar olabilir.) Eğer yüzde yüz emin değilseniz sadece IP numarası içeren sitelerin sahte olma olasılığı yüksektir.
Eğer bir e-psota isteğinin meşru olup omadığından emin değilseniz. Üçüncü bir kaynaktan doğrulamaya çalışın. O e-postadaki iletişim bilgilerine güvenmeyin. Bilinen phishing saldırıları ile internet üzerinde kaynaklar vardır. Örneğin Anti-Phishing Çalışma Grubu’nun sitesinde konu ile ilgili bilgiler bulabilirsiniz.
Bugün başlıca web tarayıcıları, başta Mozilla Firefox olmak üzere birer dolandırıcı filtresi içerirler ve girdiğiniz sitelerin hile amaçlı olmadığını söyleyebilirler. Bunlara dikkat edin ve devre dışı bırakmayın.
Sisteminize anti-virüs programları kurun ve bunları güncel tutun. E-posta filtreleri ile bu sahte e-posta trafiğini önemli ölçüde azalatabilirsiniz. Mozilla Thunderbird ve Outlook son derece gelişmiş spam filtrelerine sahipler. Ayrıca Google’ın Gmail’i de oldukça başarılı bir filtrelemeye sahip. (Online virüs taramaları bilgisayarınıza güncel bir koruma sağlayabilir)
Güvenmediğiniz ve şifrelenmemiş ağlarda suyarlı bilgiler içeren işlemler yapmayın. Buradaki şlemleriniz üçüncü partiler tarafından gözetleniyor olabilir.
Tüm hesaplarınız için aynı şifreleri kullanmayın. Şifrelerinizi kolay tahmin edilebilir seçmemeye çalışın.

Saldırıya maruz kalındığında yapılabilecekler:

Eğer organisazyonunuz hakkında bir bilgiyi açığa çıkarttığınızı düşünüyorsanız. Ağ yetkiliniz başta olma üzere gerekli yerleri haberdar edin.
Eğer finansal bir bilginin açığa çıktığından süpheleniyorsanız derhal finans kuruluşunu arayın ve ilgili hesapları iptal ettirin. Ekstrelerinizi herhangi bir sıradışılık için gözden geçirin.
Saldırıyı gerekli mercilere şikayet edin.

Online Virüs ve Zararlı Program Kontrolu

Posted on 24 Aralık 2007 by Sinan Taga

Günümüzde, virüsler, malware ve spyware’ler can sıkıcı şeyler. Genelde bunun için çözüm bir virüs programı kullanmaktır. Ama sisteminizde yüklü olan program çeşitli nedenlerden dolayı güncel olmayabilir veya yeni çıkan her virüsü tanımayabilir. Günümüzde Internet’teki gelişme sayesinde artık virüs kontrollerinizi online olarak yapabilirsiniz. Online virüs tarayıcıların en büyük avantajı her an en güncel veritabanına sahip olmaları.

Genelde bir sürü Anti-virüs firmasının online virüs tarayıcıları olsa da bunların çoğu pek istenildiği şekilde çalışmıyor. Fakat biraz önce rastladığım Nanoscan ve TotalScan’i tanıtmak isterim.

İkisi de Panda Antivirus firmasının projeleri. Firefox’ta ve Internet Explorer’da çalışıyorlar. Nanoscan biraz daha basit bir tarama yapıyor. Bu yazı yazıldığı anda 2,721,064 virüs ve benzeri kötü niyetli programı tanıyordu. Benim sistemimi bir dakikatın altında taradı. Zaten en büyük avantajı da bu hızlı taraması. Nanascan sadece bir tarayıcı, yani kötü bir şey bulursa silmiyor amacı sadece sizi uyarmak. İkiside 9 ayrı dili destekliyor ama aralarında Türkçe yok.

Eğer daha ayrıntılı bir tarama isterseniz gene Panda’nın Total Scan’i kullanmalısınız. Total Scan daha detyalı bir tarama yapıyor. Basit taraması beş dakika civarı sürerken, tam tarama ise bir saati bulabiliyor. Ayrıca TotalScan’a üye olursanız taramalarınızı kişiselleştirebilir (ör: belli dizinler gibi), tarama geçmişiniz gibi ileri fonksiyonlara erişebilirsiniz. Üyelik ücretsiz. Ben test ettiğim sırada 3,010,972 zararlı öğe tanıyordu. Nanoscan’in aksine TotalScan bulduğu zararlı öğelere gerekli müdaheleleri de yapabiliyor. Bazı ileri fonksiyonlarını kullanmak için ise Pro sürümüne geçmeniz gerekebilir.

Yukarıda da bahsettiğim gibi diğer anti-virüs firmaları da online tarayıcılar sunuyorlar. Yalnız aşağıdakilern hepsi Active-x tabanlı olduğu için sadece Internet Explorer’da çalışıyor.

Not: Test sırasında Windows Vista ve Firefox 2 kullandım. Firefox’u administator modunda başlatana kadar eklentiyi yükleyemedim. Administrator modundan sonra ise problemsiz olarak çalıştı.

Yeni Trojan Google Metin Reklamlarını Çalıyor

Posted on 20 Aralık 2007 by Sinan Taga

Yeni çıkan bir Trojan Google metin reklamlarını (Google text ads) çalarak onları başka bir sunucudan reklamlarla değiştiriyor. Bitdefender adlı anti virus firmasının keşfederek Trojan.Qhost.WU adını verdiği bu trojan kaçırma işlemini etkilediği sistemin host dosyasını değiştirerek reklamları yönlendiriyor.

Etkilenen makinede bulunan host dosyasına “page2.googlesyndication.com” sayfası için yeni bir yönlendirme ekliyor. Bu yüzden de metin reklamları Google yerine başka bir kaynaktan indiriliyor ve buradaki reklamlar kullanıcıya gösteriliyor veya reklam hiç gösterilemiyor. Bu hem kullanıcı hem de site sahibini etkileyen bir durum.

Bu trojanın bilgisayarınıza bulaşıp bulaşmadığını şu küçük testi uygulayabilirsiniz. Bir komut satırı penceresi açarak (Başlat > Çalıştır) ping -t pagead2.googlesyndication.com komutunu girin.

Pinging pagead.l.google.com [6x.xxx.xxx.xxx] with 32 bytes of data: (veya 32 bayt veri ile pagead.l.google.com [6x.xxx.xxx.xxx] ping ediliyor) tarzında bir cevapla karşılaşmanız gerekiyor.

Burada önemli olan kısım bu ip numarasının ilk rakamı. Eğer bu rakam 6 ile başlıyorsa bilgisayarınız temiz. Fakat rakam 9 ise bilgisayarınız Trojan.Qhost.WU tarafından etkilenmiş demektir.

Sisteminizden kaldırmak için anti-virüs programınızın dosyayı silmesine izin verin. Host dosyanızdaki “page2.googlesyndication.com” yönlendirme satırını silerek de host dosyanızı eski haline getirebilirsiniz.

Online Yedekleme (Backup) hizmetleri

Posted on 06 Aralık 2007 by Sinan Taga

İstatiksel olarak sabit diskinizin her hangi bir anda bozulma olasılığı 12′de bir. Dizüstü bilgisayarınızın çalınma ihtimali 10′da 1 ve kendi hatalarınız yüüzünden önemli bir veri kaybetme olasılığınız ise 3′te 1.

Bunların hiç biri mesela yangın ya da sel gibi karşılaşılabilecek olağanüstü durumlar değil. Burada demek istediğim, eğer yedeklemez iseniz, verileriniz kaybolma ihtimali düşündüğünüzden daha da fazla.

Yedekleme için kullananılan bir sürü çözüm var. Mesela tape-backup veya sabit disk. Günümüzde sabit disk fiyatlarının devamlı düşmesi ile verilerinizi harici bir diskte yedeklemek çok mantıklı. Hatta hafıza çubukları (memory stick) bile artık bir oranda bu iş için yeterli kapasiteye sahip. Fakat bu noktada bilinmesi gereken başka bir iki nokta daha var. Birincisi sabit diskler bozulabilen aletler. Ne kadar özenle bakılsa da her an bozulabilirler. İkincisi bir sabit disk (ya da yedekleme kasetleri) de çoğu zaman bilgisayarınızla aynı yerde durmakta. Dolayısı ile işyeriniz veya evinizde bir yangın çıkarsa, hırsız girerse veya buna benzer bir durum ile karşılaşırsanız verilerinizi kaybedebilirsiniz. Bir diğeri ise de küçük diskler ve hafıza çubukları için geçerli. Kaybolabilirler. Benim başıma bir sürü defalar geldi.

Böyle durumları göz önünde bulundurarak online yedekleme hizmetlerini deneyebilirsiniz.

Artık bedava e-posta hizmet sağlayıcılarının bile GB’larca depolama alanı sunduğu günümüzde online yedekleme hizmetlerinin fiyatları da çok düştü. Ayrıca çoğu firma size hizmetlerini bedava deneme fırsatı sunuyor. Sistem genelde, firmanın ufak bir yazılımını bilgisayarınıza yüklemeniz ile çalışıyor. Bu yazılımı yükledikten sonra yedeklemek istediğiniz dosyaları seçiyorsunuz. Internet bağlantınız olduğu sürecede dosyalarınız güncel bir şekilde yedekleniyor.

Tabii bu tür hizmetin en büyük dezavantajı ise verilerinizin üçüncü bir kişinin kontrolünde olması. Ama zaten bilgisayardan kendisi anlamayan herkes için geçerli bir konu bu. Önemli olan güvenilir bir firma seçmek.

İşte bazı Online Yedekleme Firmaları:

Bu yukarıda ki üç firma gördüğüm ve araştırdığım kadarı ile hem bilgisayar ve teknoloji dergileri hem de teknoloji blogları tarafından incelenmiş ve olumlu eleştiriler almış firmalar. Bunların dışında Protect My Photos şu an için sadece fotoğraflar için bu hizmeti veren bir firma. Ibackup.com adlı bir diğer firma da uzun süredir bu sektörde olan bir firma.

Zaten Google’a “online backup” diye bir arama gönderecek olursanız. Bir sürü “online backup” hizmeti veren firmanın reklamları karşınıza çıkıyor.

Bu arada yazıda genelde online yedekleme veya online backup terimlerini kullandım. Bunun sebebi henüz -bildiğim kadarıyla- bu hizmetin Türkçe ve Türkiye’de verilmiyor olması.

Eğer online yedekleme hizmetleri ile ilgili deneyimleriniz olduysa lütfen bizimle paylaşın.

Apple Quicktime Güvenlik Açığı

Posted on 28 Kasım 2007 by Sinan Taga

Quicktime Logo İlk olarak CERT tarafından yayınlanan Quicktime güvenlik açığı Mozilla Security tarafından da onaylandı. Buna göre Quicktime 7.2 ve 7.3 tehdit altında olan sürümler. Windows ve Mac OS işletim sistemleri ise tehdit altında olan işletim sistemleri.

Bir saldırgan kurbanı içine medya dosyası gömülü bir web sitesine çekerek veya bir email linki ile Quicktime’da bir sınır kontrolu hatası tetikleyerek gelişigüzel kodlar çalıştırabilir.

CERT’in yayınına göre de Quicktime bir yığın tampon taşması güvenlik açığı yüzünden gelişigüzel kod çalıştırabiliceğini belirtiyor. Şu an için bilinen bir çözümü yok.

Ama bir kaç yöntemle tehlikeye önlem alabilirsiniz. (CERT’in önerileri)

rtsp:// protokolunu kapatabilirsiniz.

IE için Quicktime ActiveX kontrollerini kapatabilirsiniz. (CERT sitesinde açıklama var, registry’den yapılıyor)

Mozilla tabanlı tarayıcılarda ise devre dışı bırak diyerek eklentiyi kapatabilirsiniz.

Windows’un dosya ayarlarını değiştirerek medya dosyalarına tıklanınca Quicktime’ın açılmasını engelleyebilirsiniz.

Tabii en sonuncusu olarak güvenmediğiniz kaynaklardan gelen Quicktime dosyalarını açmayın.

CERT’in konu ile ilgili yayını

Mozilla Security Blogu

SuAygırı.Com

Bir su aygırının internet ve teknoloji bilgisayar ve oyun maceraları

Category Archives: Güvenlik