Davetsiz misafirler kişisel bilgi güvenliğiniz için tehdit
oluşturuyorlar. Bu görünmez tehlikeyi birlikte daha yakından
inceleyelim.
Bilgi güvenliği kavramı, bilişim dünyasında soyut bir kavram olarak
görülüyor. Kişisel veri güvenliğinde yaşanan problemlerden doğan
negatif sonuçların birikimi sonucu bu kavram, gün geçtikte somutlaşma
yolunda ilerliyor.
İnsanoğlu, en iyi dersleri, bir olay
başından geçtiği zaman öğreniyor.Bu yüzdendir ki güvenlik artık
herkesin uygulaması gereken temel unsurların başında
geliyor.Sistemimizi ne kadar iyi korusak bile bazen öyle durumlar ile
karşılaşıyoruz ki tüm çabalarımız boşa gidiyor ve görünmez misafirler
sistemimizi ele geçiriyor.Bu görünmez misafirler de güvenlik dünyasında
“Rootkit” adı altında bilgi güvenliğini tehdit eden en tehlikeli
uygulamaların başında geliyor.
Rootkitler, sistemlerde çekirdek
(kernel), kütüphane (library) ve uygulama (application) seviyelerinde
çalışabilen ve gizliliğinden ötürü varlığından zor haberdar olunan
araçlar olarak biliniyor. Rootkitler, işletim sistemi ayırtetmeksizin
hem Windows hem de Unix tabanlı işletim sistemlerinde kolayca aktif
duruma geçebiliyor. Root (en üst düzey yetki) ve kit (araç)
sözcüklerinin birleşiminden rootkit adını almaktadır. İlk çıktığı
yıllarda tespit edilmesi imkânsız olan bu araçlar, son yıllarda gelişen
güvenlik teknolojileriyle birlikte tespit edilebilir hâle geldiler.
Kimler Kullanıyor ?
Hackerlerin vazgeçilmezleri arasında yer alan rootkitler, erişim
yaptıkları sistemlerde sistem yöneticisine fark edilmeden, hacker
tarafından verilen görevleri kusursuzca yerine getirir.Tespit
edilebilirliği de zor olmasından dolayı eriştikleri sistemlerde uzun
süre aktif kalırlar.Sistem kaynaklarını sonuna kadar sömürürler ve
diğer zararlı yazılımların sisteme erişim sağlaması için alt yapı
oluştururlar.
Sony firması tarafından 1995 yılında piyasaya
sürülen ve kopya korumasını engellemek amacıyla çıkardıkları öne
sürülen rootkit ile milyonlarca kişinin bilgisayarı rootkit
tehlikesiyle tanıştı. Bir süre sonra bu cdler Sony firması tarafından
toplatıldı.
Sistemlere izinsiz giriş yapan kişiler erişimi
gerçekleştirdiği bilgisayarlarda izlerini bırakmamak için rootkitlerden
yararlanıyorlar. Log adı altında izlerinin takip edildiği dosyalara
erişim sağlayıp devre dışı bırakıyorlar. Böylece sistem yöneticisi
tarafından tespit edilmeleri güçleşiyor ve istedikleri bilgilere
kolayca erişebiliyorlar. Yerine getirdikleri görevlere bakıldığında
Truva atlarına benziyorlar . Ancak gizlilikleri konusunda bir Truva
atından daha fazla gizlilik içeriyorlar. Sistemlerde oluşturabildikleri
backdoor (arka kapı) vasıtasıyla da birçok uygulamanın çalışabilmesi
için uygun alt yapı oluşturabilirler.
Rootkit istilasını başlatan CD.
Görünmez misafirlere yakın plan
Rootkitler çalışma prensiplerine göre farklı alt bölümlere
ayrılmışlardır. Sistemlerin her noktasına erişim sağlayabilecek uygun
ve yeterli işleyiş sistemlerine sahiptirler. Bazı çalışma şekillerini
daha yakından inceleyelim.
Çekirdek seviyesi (kernel level):
En tehlikeli ve sisteme yerleştirdikten sonra tespit edilmesi en zor
rootkit türüdür. Kendisini işletim sisteminin çekirdeğine yerleştirir.
Bu işlem genelde çalışmakta olan ve çekirdek ile bağlantılı olan
dosyalara eklenen kodlar ile gerçekleşir.
Kütüphane seviyesi (library level):
Kayıt defteri (Regedit) gibi sistem kayıtlarının işlendiği noktalara
kendisini ekleyerek aktif konuma geçebilirler. Günümüzde bazı ünlü
Truva atları da bu yapılanmaya sahiptir.
Uygulama seviyesi (Application level):
Uygulama (*.exe) olarak çalışan dosyalara kendisini ekleme yaparak ya da değişiklik yaparak sisteme bulaşmaya çalışırlar.
Bu çalışma şekillerinin dışında virtualized, firmware, memory based
seviyelerinde de çalışabilirler. Donanım parçalarına müdahale
edebilirler, oluşturacakları sanal sistemler üzerinden giriş yaptırarak
gizlenme görevlerini başarıyla yerine getirirler.
Manuel olarak
tespit edilmeleri oldukça zordur. Eğer oluşturduğunuz dosyalarınızın
md5 checksum değerleri mevcutsa şüphelendiğiniz dosyalarınız da bu
değerleri karşılaştırarak sonradan bir eklenme olup olmadığı kontrol
edilebilir. Böylece değişen md5 değerleri, size dosyanızın değişip
değişmedi hakkında bilgi verir.
Nasıl Bulaşırlar ?
Web siteleri üzerinden ve programlar vasıtasıyla virüs, keylogger ve
trojan gibi diğer zararı yazılımların bulaşma şekilleriyle aynı biçimde
bulaşırlar.Yapıları itibariyle farklı olduklarından dolayı ,anti-virüs
programları tarafından tespit edilmeleri zordur.
Son günlerde
Vista kullanıcılarını bir MBR (Master Boot Record) rootkit’i tehdit
ediyor. Kötü niyetli kişiler bu rootkit’i kullanıp sisteminize erişim
sağlıyorlar ve sisteminizi tüm saldırılara açık hâle getiriyorlar.
Sistem yöneticisi tarafından fark edilmeden kurulan rootkitler,
yalnızca Windows platformlarında değil, Unix tabanlı işletim
sistemlerinin de baş belası haline geldi. Web hosting hizmeti sağlayan
firmalardaki sistem yöneticilerinin sıkıntı yaşadığı en önemli
noktalardan biridir.Sunucudaki güvenlik açıklarından yararlanan kötü
niyetli kişiler, bir backdoor (arka kapı) vasıtasıyla sisteme çekip
çalıştırdıkları rootkitler ile yaptığı işlemleri
gizleyebilirler.Böylece o sunucu üzerindeki tüm web sitelerinin
güvenliğini tehdit altına alınmış olur.
Paronayak olun !
Paronayak olmak bazen doğabilecek büyük problemlerin önüne geçiyor.
Böyle durumlarda Intel firmasının kurucusu Andy Grove’un şu meşhur sözü
aklıma geliyor; “
Sadece Paronayaklar hayatta Kalır”. Tüm
ihtimalleri düşünmek ve gelebilecek saldırı önceden sezmek olağanüstü
bir yetenek değildir. Gelişen güvenlik teknolojileriyle artık
rootkitler’den korunmak sizin elinizdedir. Hem Windows hem de Unix
işletim sistemleri için hazırlanmış anti-rootkit araçlarıyla
güvenliğinizi arttırabilirsiniz. Paronayak olmanıza gerek kalmadan
basitçe kullanabileceğiniz bu uygulamaları birlikte yakından
inceleyelim.
Sisteminizi kurarken güvenirliliğinden emin
olduğunuz dosyalardan kurulum yapmaya özen gösterinizi. Bir web
sitesinde bulduğunu dosyaları sisteminize kurmayınız. Açık kaynak kodlu
projelere kolayca entegre edilebilen bu zararlı araçlar kısa sürede
birçok kişiyi mağdur konuma düşürüyor. Linux işletim sisteminizde
güncelleme paketlerini resmi web siteleri dışından gerçekleştirmeyiniz.
Windows işletim sistemi kullanıyorsanız son güncellemeleri mutlaka
yapınız aksi hâlde rootkit saldırıları sisteminizde kolayca etkili hâle
gelebilir. Firewall gibi yazılımları kolayca egale edebilen bu zararlı
araçlar için bazı anti-rootkit araçları geliştirildi bu yazılımları
kısa sürede edinin ve sisteminizi güncel taramalardan geçirin.
Yetkileri sınırlandırılmış hesaplar ile sisteminizi kullanmayı özen
göstermek, üst düzey yönetici haklarına sahip olmayı amaçlayan
rootkitleri pasif konumda tutarlar. Kullanıcı adınızın ve şifrenizin
kolay tahmin edilemez olması da bu zararlı yazılımları bir nebze de
olsa görevlerini yerine getirmelerini engelleyebilir. Sistemlerde
sniffing görevi de üstlenebilen bu yazılımlardan korunmak için manuel
yolların dışında yazılımsal çözümler de bulunuyor.
Sizler için incelediğimiz ve önerebileceğimiz bazı rootkit temizleme ve korunma araçlarını sizler de incelemelisiniz.
Sophos Anti-Rootkit
Basit ara yüzü ile kolayca tarama yapıp görünmez tehlikelere karşı önlemler alabilirsiniz.
Gmer Anti-Rootkit
Gerçek boyutundan [ 729 x 559 ] 87% oranında küçültüldü - Tam boy görmek için tıklayınız
Gmer ile sisteminizin derinliklerine yerleşmiş rootkitleri bile bulabilirsiniz.
Microsoft® Windows® Malicious Software Removal Tool
Microsoft’un ücretsiz aracıyla kolayca tarama yapabilirsiniz.
Unix tabanlı işletim sistemlerinde “ChkRootkit” adındaki anti-rootkit
aracıyla tarama yapabilirsiniz. ChkRootkit aracı değiştirilme olasılığı
olan dosyaları tarama yaparak kolayca tespit edebilir. Tarama yaptığı
bazı dosyalar şunlardır.
aliens, asp, bindshell, lkm, rexedcs,
sniffer, wted, z2, amd, basename, biff, chfn, chsh, cron, date, du,
dirname, echo, egrep, env, find, fingerd, gpm, grep, hdparm, su,
ifconfig, inetd, inetdconf, identd, killall, ldsopreload, login, ls,
lsof, mail, mingetty, netstat, named, passwd, pidof, pop2, pop3, ps,
pstree, rpcinfo, rlogind, rshd, slogin, sendmail, sshd, syslogd, tar,
tcpd, top, telnetd, timed, traceroute, write.
Buna alternatif
olarak “rootkit hunter” aracıyla da tarama işlemini
gerçekleştirebilirsiniz. Kurulum işlemi için Linux konsolunda şu yolu
izleyebilirsiniz.
#tar -z vf rkhunter.tar.gz //rootkit hunter dosyamızı açıyoruz
#sh installer.sh //kurulum işlemini başlatıyoruz.
#rkhunter –c // tarama işlemini başlatın.
Unix tabanlı sistemlerde genelde netstat,ps,df,find,ls gibi dosyalara rootkitler kolayca müdahale edebiliyorlar.
ProcessGuard
ProcessGuard ile rootkitlerden korunabilirsiniz.
Anti-Rootkit araçlarını aşağıdaki adreslerden indirebilirsiniz.
Microsoft Malicious Software Removal Tool
http://www.microsoft.com/security/malwareremove/default.mspx
Sophos Anti-Rootkit
http://www.sophos.com/products/free-tools/...ti-rootkit.html
AVG Anti-Rootkit
http://www.grisoft.com/doc/download-free-a...ootkit/us/crp/0
Rootkit Buster
http://www.trendmicro.com/download/rbuster.asp
Rootkit Revealer
http://www.microsoft.com/technet/sysintern...itRevealer.mspx
Gmer
http://www.gmer.net/index.php
Son Sözler
Görünmez misafirlere geçit vermemek için önceden de sıkça dile
getirdiğimiz güvenlik çözümleri, rootkit saldırıları için de
geçerlidir. Sisteminizde güncel bir anti-virüs,anti-spyware ve firewall
yazılımları dışında artık anti-rootkit araçlarını da
bulundurmalısınız.Güvenliğin gün geçtikte sistemlerin derinliklerine
inen kötücül yazılımları tespit etme konusunda yaptığı bir çok çalışma
olsa da kişisel bilgi güvenliğiniz için her zaman kuşkucu olmakta yarar
vardır.Görünmez misafirleri görünür kılmak sizin elinizdedir.
Yazan: Olcay KÜK