CHIP Online - Arşiv: Ocak 2004 DOWNLOAD Yarının Virüsleri

126 CHIP | OCAK 2004 13:55 k Virüslerin, solucanların, Truva atlarının ve öteki zararlı programların pek yakında acımasız saldırganlar tarafından tümüyle yok etmek, maddi zarara yol açmak ya da belli amaçlara ulaşmak maksadıyla, profesyonelce kullanılacağını da kabullenmeniz gerekiyor. Bu düşünce virüs uzmanları için tam bir kabus, çünkü onlar bizi nelerin beklediğini tüm ayrıntısıyla gözlerinde canlandırabiliyorlar. Belirtilerin farkında olan birçokları, değişimin tam şu anda gerçekleşmekte olduğunu söylüyorlar. Onlara kalırsa, kısa bir süredir ortalıkta gezinen virüslerin bazıları, çok daha bilinçli saldırılara hazırlık için hazırlanmış test numuneleri. “Virüsler ve solucanlar, ileride de gündemde büyük yer tutmayı sürdürecekler. Blaster ve Slammer, bizi bekleyen tehlikenin yalnızca ilk örnekleri” diye uyarıyor Karlsruheli virüs uzmanı Christoph Fischer. Bu yeni parazitleri sınışandırmak da eskisi kadar kolay değil. Yeni virüsler, tek bir program içinde birden çok mekanizmayı birleştiren karmaşık yapılara dönüşmüş haldeler.Örneğin bir solucan, beraberinde sistemi ele geçiren ve daha büyük çaplı zarar vermek için arka kapı açan bir Truva atını da taşıyabiliyor. Solucanlar artık tek bir güvenlik açığından faydalanmak yerine, birden çok zaaftan yararlanabilecek şekilde tasarlanıyorlar. Symantec Araştırma Laboratuarı’nın müdürü Steve Trilling, “Kuşkusuz gelecekte çok daha hızlı yayılan ve çok daha kötü niyetli tehditlerle karşı karşıya geleceğiz,” diyerek korkusunu dile getiriyor. Onun tahminince “Warhol” ve “Şash” türünde solucanlar, karşı önlem almaya fırsat bile tanımadan dakikalar ve hatta saniyeler içinde büyük ağları ya da internetin büyük kısmını felce uğratabilir. Bu parazitlerin tehlikeli potansiyeli, Berkeley Üniversitesi’nin daha yıllar önce yaptığı araştırmalarla ortaya çıkarılmış. TEHDİT HIZLA BÜYÜYOR » Bir saldırgan yeni keşfedilen bir açıktan derhal yararlanırsa, buna tepki gösteremeyiz. Steve Trilling, Symantec Araştırma Laboratuarı 1988 1990 1992 1994 1996 1998 2000 2002 2003 125.000 150000 100.000 75.000 50.000 25.000 0 Carnegie Mellon Üniversitesi’ndeki CERT Koordinasyon Merkezi’nde (CERT/CC) 1988’den beri tüm virüs türleri kaydediliyor. Önceleri daha yavaş büyüyen rakamlar, aradan geçen süre zarfında katlanarak artmaya başlamış. Virüs avcıları: ABD San Antonio’daki Symantec güvenlik merkezi çalışanları, buradan tüm dünyadaki ağları gözetliyorlar. GÜNCEL » KAPAK » DONANIM » YAZILIM » HI-TECH » PRATİK » INTERNET 127 CHIP | OCAK 2004 128 Yarının virüsleri GÜNCEL » KAPAK » DONANIM » YAZILIM » HI-TECH » PRATİK » INTERNET CHIP | OCAK 2004 Profesyonel virüs yazarları, saldırı penceresini kısaltıyor Virüs programcıları ve hacker’lar, bilinen yazılım zaaşarından yararlanıyor çoğu zaman. “Bir güvenlik açığının keşfiyle bir tehdit tarafından kötüye kullanılması arasında geçen süreyi ‘saldırı penceresi’olar ak niteliyoruz.” diye açıklıyor Trilling. Örneğin Nimda ve Slammer kurtları aylar süren saldırı pencerelerine sahiptiler ve bu sayede, açığın keşfedildiği yazılımın üreticileri bir yama geliştirmek ve kullanıcıları uyarmak için yeterince zamana sahiptiler. Saldırılar, güvenlik açıklarının halka duyurulmasından ortalama altı ay sonra gerçekleşiyor. Trilling, profesyonel virüs programlama alanında bir gelişme bekliyor: “Saldırganlar artık daha iyi kaynaklara sahipler, daha bilinçli hareket ediyorlar ve güvenlik açıklarından faydalanma süreleri, şimdiye kadarki amatörlerinkinden çok daha kısa,” diyerek tehdidin yeni türünü tanıtıyor. Bu yüzden gelecekte çok daha kısa saldırı pencereleri bekleniyor. Saldırganın finansal donanımı ne kadar iyiyse, yeni açıkları ortaya çıkarmak ve hemen bundan faydalanacak parazitler programlamak için de o denli daha fazla kaynağa sahip olma ihtimali büyük. Bu, ileride “sıfırıncı günde” gerçekleşen bir saldırıya yol açabilir. Steve Trilling, bu kavramı şöyle açıklıyor:“ ‘Sıfırıncı günde saldırı’bir açığın, keşfinden hemen sonra daha yazılım üreticileri, bilgisayar yöneticileri ve kullanıcılar harekete geçemeden saldırıya uğraması. Gelecekte saldırıların ağ üzerinden birkaç saniye içinde gerçekleşmesi göz önüne alınması gereken bir tehlike. Virüslerle spam’in uğursuz birlikteliği korkutuyor Profesyonel virüs programcıları para da kazanmak istiyor. Virüs ve spam problem alanlarının adım adım kaynaşmasını uzmanlar endişeyle izliyor: “Toplu eposta gönderenler, spam gönderilmesini yasaklamaya yönelik dünya çapındaki çabalar yoluyla, büyük bir baskı altında tutuluyor,” diyerek yola çıkış noktasını belirginleştiriyor Christoph Fischer. Bunun sonucu olarak spam’cıların başka platformlara kayacağından korkuluyor. Virüsler, gelecekte spam dağıtmak için kullanılabilir. Bu durumda virüslerin hedefi, bulaştıkları makineden ticari çıkar sağlamak olacak. Spam’le virüslerin gitgide kaynaşması da bu şekilde açıklanabilir.Virüs yazıcıları şimdiye kadar kendisiyle spam gönderilen - Ratware denilen – yazılımlardan, yeni virüsleri yaygınlaştırmak için yararlanıyor. Öte yandan spam’cılar da postalarını Truva atlarıyla ve kendiliğinden açılan pahalı porno sayfalarına bağlantılarla donatıyor. PC’leri ele geçirip spam göndermekte kullanan Sobig.F solucanı, bu tip bir virüs taşıyıcı için bir test platformu olabilir. Bu parazitin hedefi, proxy sunucularına erişimi olanaklı kılan arka kapı bileşenlerinin kurulması. Bunun ardından, Open Proxy üzerinden hiçbir engelle karşılaşmaksızın yanlış göndericili spam postaları gönderilebilir. Sobig.F, Ağustos ayında akıl almaz bir hızla çoğaldı. İş dünyasına e-postalar için güvenlik çözümleri sunan MessageLabs sunucusu, daha ilk 24 saat içinde bir milyondan fazla Sobig.F e-postası kaydetti. Salgının doruk noktasındaysa güvenlik uzmanlarının ağlarına saniyede on iki adet virüslü e-posta takıldı. “Sobig.F’in misyonu, interneti çöp epostalarla dolduracak spam proxy’lerden ibaret dünya çapında bir ağ bağlantısı oluşturmak,” görüşünde Message- Labs’in şef güvenlik analisti Paul Wood. Solucan için her şey mükemmel şekilde gelişti. Sobig.F bir çırpıda yayıldı, ancak ne ilginçtir ki, hedefine ulaşamamasını sağlayan da bu yayılma hızıydı. Daha önce eşi benzeri görülmemiş bu bir virüs seli karşısında başta gelen ülkelerin virüs uzmanları bir araya gelip daha virüsün ikinci indirme aşaması tamamlanmadan, Sobig F’in yaygınlaşmasında “yöne- Prof. Leonard M. Adleman “Bilgisayar virüsü” kavramını ilk kez kullanıyor. Xerox Palo Alto Research Center’da (PARC) ilk solucanlar programlanıyor. Aslı nda dağıtık işleme için hizmet vermesi gereken bu solucanlardan biri, bir programlama hatası yüzünden kontrolden çı- karak çoğalıyor Fred Cohen ilk virüsü tanı- tıyor. Bu virüs Unix altında programlanmı ş ve her kullanı cıya sistem yöneticisi hakkı verebiliyor. Cohen “Bilgisayar Virüsleri – Kuram ve Deney” konulu doktora çalışmasını teslim ediyor. Onun bu çalışması hızlı bir gelişimin önünü açıyor İlk Truva atı dolaşı ma çıkıyor. Kamuşe edilmiş program çalıştırı- lınca sabit disk üzerindeki tüm dosyalar siliniyor. FU Berlin’de büyük bir bilgisayar üzerindeki ilk virüs enfeksiyonu keşfediliyor. İlk MS-DOS virüsü ortaya çıkıyor. Bu virüs Pakistani, Ashar ya da Brain adları yla biliniyor ve disketlerin içerik tablosunun adını değiştiriyor. Bir IBM sistemindeki ilk solucan. “Tannenbaum” solucanı bir anda yayılıyor. Virüslerin ikinci kuşağı: Cascade virüsü belleğe yerleşen ve dosyalara bulaşırken şifreleme yöntemi kullanan ilk virüs. Atari ST için yazılmış ilk virüs inşa aracı yayınlanıyor. Bu araç yardımıyla, yeni baş- layanlar bile kolayca virüs yazabiliyor. İlk internet solucanı dünya çapında yayılıyor. İlk çokbiçimli (polymorphing) virüs bulunuyor: Washburn diye de anılan V2Px. Bu tip virüsler kendilerini her seferinde başka bir tarzda yeniden değiştiriyor. Stealth virüsleri (kamuşajlı virüsler) dosyalara bulaşıyor, üstelik yaptıkları de- ğişiklikleri ve kendilerini gizliyorlar. DIR-II virüsü programlara bulaşmak için tümüyle yeni bir yöntemden faydalanıyor. Programların FAT kayıtlarına bulaşan ilk virüs. Rusya ve Bulgaristan kaynaklı virüs yazarı “Dark Avenger” olarak tanınan saldırgan parazitler geliştiriyor. Virüs programlama yarışmaları ve toplantı ları düzenleniyor. Yeni bulunan virüslerin sayısı bu andan itibaren katlanarak artıyor. » Sobig F’in hedefi spam e-postalar için dünya çapında bir ağdı. Yeni virüsler buradan yola çıkacak. Paul Wood, MessageLabs 1981 1982 1983 1984 1985 1986 1987 1988 1989 1990 1991 VİRÜSLERİN TARİHİ k 130 Yarının virüsleri GÜNCEL » KAPAK » DONANIM » YAZILIM » HI-TECH » PRATİK » INTERNET CHIP | OCAK 2004 k tim merkezi” rolü oynayan web sitelerini devre dışı bıraktılar. Kurulum tamamlandıktan sonra virüs arka kapı bileşeni üzerinden başka IP adreslerini kontrol edebilecek ve de spam gönderici olarak kullanabilecekti. Ama altı nüfuslu Sobig ailesi, katılan her yeni üyesiyle saldırının şiddetini artırıyor.“ Sobig.G’de arka kapı bileşenlerinin tam kurulumunu güvence altına almak için yaygınlaşma ile ikinci indirme işlemi arasındaki zaman dilimi kesinlikle kısaltılmış olacak” kehanetinde bulunuyor Woods. Güvenlik uzmanı, ayrıca Sobig.G’nin çok yakında başımıza bela olacağından ve bu yılın Ocak ayından beri ortaya çıkan öncülünden çok daha etkili olabileceğinden korkuyor. Antivirüs yazılımı üreticisi Sophos’ta kıdemli teknik danışman olarak çalışan Gernot Hacker, Sobig.A’dan Sobig.F’e kadar görülen yetersizlikleri ne tesadüf, ne de virüs yazıcılarının yeteneksizliği olarak görüyor: “Sobig ailesinin her bir üyesinin geçerliğini yitirme tarihi öyle gösteriyor ki, virüsün yazarı hangi yayılma yönteminin teknik ve psikolojik bakımdan en iyi şekilde işlediğini görmek için deneme yapıyor.” Sobig çeşitlerinin haftanın değişik günlerinde, hemen hemen hiç değişmeyen konu satırlarıyla ve dosya adlarıyla dolaşıma çıkması bunun bir kanıtı. Gernot Hacker, “Yazar, virüslerinin hızla yaygınlaşması için hangi koşulların mükemmel olduğunu bulmak istiyor sanki.” diyor. Online suçlara karşı mücadeleye ant içenler Virüsler ve spam göndericileri, başka ülkelere kayarak yasal takibattan kurtulmayı deniyorlar. Asya, Doğu Avrupa, Güney Amerika, Karayipler, yalnız adalar, farklı kanunların işlediği gözden uzak yerler... hepsi de gerilim yüklü casusluk öyküleri için seçilmiş tuhaf dünyalar. Ama gitgide daha fazla bilgisayar suçunun dijital izleri, dallanan veri ağları yoluyla kökenine kadar inildiğinde buralara varıyor. Çocuk pornografisi yayanlar, virüs yazanlar ve her türden online sahtekarlar bu tip yerlerde barınıyorlar. Ancak artık orada da rahat değiller. Casus filmlerinde 007 ya da meslektaşlarından biri uluslararası bir suç örgütünün peşindeyken online suçlara karşı telefondan yararlanabiliyor. Heyecanlı bir filmden alınmış sahneleri andırsa da, dünya çapında yaklaşık iki düzine bilgisayar uzmanından oluşan, veri ağlarındaki kötülükle mücadeleye yeminli bir örgüt var. Onlar kendi başlarına ve çoğu zaman da yetkili kurumlardan daha hızlı ve sık bir şekilde kanundan bağımsız olarak hareket ediyorlar. “Resmi işlemler çok yavaş yürüdüğü için kanun dışı yollara başvuruyoruz,” diye açıklıyor Christoph Fischer bu davranışın altında yatan sebebi. Hacker’lar nasıl uluslararası çalışıyorlarsa, karşı taraf da bir birlik halinde olmak zorunda. İçlerinden neredeyse hiç kimsenin adını söylemiyorlar, kontak kişileri için de bir liste tutulmuyor. Ketum davranmayı tercih ediyorlar. Ancak bu çevrede aranan isimlerden biri olan Amerikalı Harold Smith, önce FBI sonra da Interpol adına çocuk pornografisine karşı kovuşturma yürütmüş. O günlerde dün- Michelangelo virüsü ilk kez bir virüs paniğine neden oluyor. İlk Mutation Engine. Bununla çokbiçimli virüsler kolayca üretilebiliyor. Günde yaklaşık iki ila üç yeni virüs duyuruluyor. Her ay yeni virüsler ortaya çıkıyor. Virüs İnşa Kitleri. Virüsler artık Windows program dosyalarına da bulaşıyor. Multipartite virüsler, programlara değişken şifre çözme rutinleri yoluyla bulaşıyorlar. Concept ve DMV gibi makro virüsleri artık çalıştırılabilir program dosyalarına değil, Word belgelerine bulaşıyor. Windows için hazırlanmış ilk çokbiçimli virüs görünüşünü değiştirebiliyor. PC’lerde virüslerin sayısı 10.000 çeşidin üzerine çıkıyor. İlk Linux virüsü, Linux için ilk virüs tarayıcının tanıtımıyla eşzamanlı olarak geliyor. Makro virüsler sayı itibarıyla dosya virüslerini solluyor. İnternette ilk kez bir Java virüsü hüküm sürüyor. “Strange Brew” platformdan bağımsız olarak yayılıyor. CIH virüsü, zarar gören donanım bileşenlerinin değiştirilmesine yol açabilecek derecede zarar veren ilk virüs. AOL Truva atı bilgi çalıyor ve e-postalara bulaşıyor. “VBS.Rabbit” Windows Scripting Host’u kullanıyor. Visual Basic Script dilinde yazılmış olarak başka *.VBS dosyalarını hedef alıyor. “W97M/Melissa” kurdu büyük firmaların e-posta sunucularını sekteye uğratıyor, Word belgelerine bulaşıyor ve kendini e-posta eki olarak göndermek için MS Outlook’tan yararlanıyor. Belleğe yerleşen çokbiçimli “W32/Kriz” virüsü Şash BIOS’un üzerine yazıyor, CMOS belleği siliyor ya da mahvediyor, tüm sürücüler üzerindeki verilerin üzerine yazıyor. “VBS.BubbleBoy” yalnızca e-postanın okunmasıyla etkinleşiyor. Virüs bir Microsoft program kütüphanesindeki bir hatadan yararlanıyor. GÜNCEL VİRÜSLER »Avrupa’da ilk on » İnternetteki arka plan hışırtısı daha güçlü bir hal alıyor. Yaygın olmayan virüsler de tehlikeli. Andreas Marx, Magdeburg Üniversitesi 1994 1993 1995 1996 1997 1998 1999 PE_BBUGBEAR.DAM 17.930 WORM_SWEN.A 6.211 JS_CBASE.EXP1 844 PE_DUMARU.A 625 WORM_SOBIG.E 509 WORM_KLEZ.H 442 WORM_NACHIA.A 381 JAVA_BYTVERIFY.A 330 PE_PARITEA.A 247 PE_BUGBEAR.B 202 Sağdaki rakamlar virüsün bulaşmış olduğu bilgisayar sayısını gösteriyor. Bu liste bir anlık bir kayıt, güncel durumu http://de.trendmicro-europe. com/enterprise/security_info/virus_ map.php adresi altında bulabilirsiniz. Tarih 19.10.2003 9 8 7 6 5 4 3 2 1 10 1992 132 Yarının virüsleri GÜNCEL » KAPAK » DONANIM » YAZILIM » HI-TECH » PRATİK » INTERNET CHIP | OCAK 2004 yanın her köşesinden meslektaşlarıyla kurduğu temaslardan bugün de hala yararlanıyor. Kariyerinin devamı onu Microsoft’a ve akabinde Beyaz Saray danışmanlığına kadar götürmüş. Aradan geçen sürede tekrar serbest çalışmaya başlamış ve şu anda da eBay’de güvenlikten sorumlu. Bu çevre kısa bir süre önce mücadele gücünü bir kez daha kanıtlayıp – kamuoyu farkına varmaksızın, yalnızca birkaç telefon görüşmesiyle – üç kıtadaki online sahtekarları tutukladığında, Smith de partiye iştirak etmişti. Hileli eBay sayfalarıyla yapılan sahtekarlığın farkına, önce Almanya’daki e-posta alıcıları varmışlar. Sözüm ona eBay’in kullanıcı destek hattından gelen e-postaların “header” kısmında Kore’de bir sunucunun adresi var ve hesaplarda sorunlar yaşandığı bahanesiyle tüm kullanıcılara gönderilen iletiler, kullanıcıları sahte eBay sayfalarına yönlendiriyor. Sonra burada yalnızca eBay kullanıcı adı ve parolası, kullanıcının adı ve doğum tarihi değil, aynı zamanda kartın PIN ve güvenlik kodu da dahil olmak üzere kredi kartı verileri soruluyor. Hemen BKA’yı (Alman Emniyet Müdürlüğü) devreye sokmak yerine, grup üyeleri Silikon Vadisi’ndeki güvenilir bir arkadaşlarını haberdar etmişler, o da Asya’daki kontaklarını harekete geçirmiş. CHIP bir önceki sayısında sahtekarlık düzenleyenlere karşı uyarıda bulunduğunda, Kore’deki bir konutun bodrumunda kelepçeler çoktan suçluların bileğine geçirilmişti bile. Oysa her zaman bu kadar dakik davranmak mümkün değil. Eğer imkan varsa, davranışları hakkında daha fazla bilgi toplamak üzere şüpheliler bir süre gözetleniyor. “Becerikli sahtekarlar ağdaki izlerini mümkün mertebe silmek için beş ülke üzerinden bağlantı kuruyorlar, diğerlerineyse doğrudan ulaşabilirsiniz.” diyor Fischer ve ekliyor: “Tek gereken, doğru yerlerde doğru kişileri tanımak.” Gruptakiler virüs saldırıları konusunda da bir hayli deneyimliler. Bazen şansları da yaver gidiyor ve sorumluların daha iş üzerinde, parazitleri dolaşıma sokarken yakalayabiliyorlar.Ama son zamanlarda onlar da dezavantajların farkına varıyorlar. Eğer bir solucan, örneğin SQL-Slammer gibi her 8,5 saniyede bir çoğalacak hızda yaygınlaşırsa, o zaman en iyi virüs avcısının bile zamanında tepki verecek fırsatı olmuyor. “Slammer aslında çok ilkel bir virüs, ancak büyük bir baş belası oldu” diye özetliyor Fischer, internetin pratikte çökmüş sayılabileceği 15 dakikayı göz önünde bulundurarak. Neyse ki bu parazit giriş için normalde internette hiç kullanılmayan bir porttan yararlanıyor ve ağı yeniden ayağa kaldırmak için bu portu bloke etmek yetiyor. Slammer birkaç saat içinde dünyada birçok sisteme bulaştı (s134’deki kutuya bakınız). Symantec, güncel internet tehdit ve güvenlik raporunda, bu tarz solucanların daha da yaygınlaşacağından yola çıkıyor. Bu da ağlara aşırı yük binmesine ve veri trafiğinin zarar görmesine yol açacak.Magdeburg Üniversitesi’ndeki iktisat enformatiği çalışma gurubundan virüs uzmanı Andreas Marx, virüs programcılarının ve antivirüs yazılımı üreticilerinin eylemlerini, tavşan ile kaplumbağa arasındaki yarışa benzetiyor: “Virüs programlayıcılarının önünde dünyanın zamanı var. Onlar kodlarını sükunet içinde test, optimize ve kamuşe edebiliyor, hatta en güncel antivirüs yazılımlarını test amaçlı kullanabiliyorlar.” Buna karşılık çare söz konusu olduğunda firmalar harekete geçmek ve üstelik de zamana karşı yarışmak zorunda. “Virüslerin yalnızca karmaşıklığı değil, sayıca çokluğu da bizi zor durumda bırakıyor,” diyor Marx. Şu sıralar ortaya çıkan günde 20 yeni virüsün üstesinden zorlukla gelinebiliyor. Yeni virüsler gerçekten de sıra dışılar. Virüs uzmanlarının karşısına çıkanlar, Web üzerinden ilk küresel felaket: “I love you” solucanı dünya çapında yaklaşı k 20 milyar Euro zarara neden oluyor ve internet üzerinde kendiliğinden yayı lan ilk virüs ünvanını alı- yor. Dünya çapında hatlar ve e-posta sunucuları çöküyor. Virüs aslında basit bir Basic script’i. Solucanların yılı. Kournikova, yılın en başarılı solucanı. Kullanıcı dosya eki “AnnaKournikova. jpg.vbs”i açmayı denedi- ğinde, zararlı kod kendini hemen Windows dizinine kopyalıyor ve kendini MS Outlook üzerinden tüm adres listesine gönderiyor. Back Orifice ve NetBus, hacker’lar için uzaktan erişim aracı olarak yazılmışlardı. Bu tip uzaktan erişim programlarının işlevlerine artık Bugbear ya da Fizzer virüslerinde de rastlanıyor. “Code Red” solucanı dünya çapında NT4 sunucularına bulaşıyor ve web sunucuları arasında yayılıyor. Saldırgan solucan “Nimda” web üzerinden hızla yayılıyor. Artık bulaşması için hiçbir kullanıcı müdahalesi gerekmeyen zararlı yazılım e-posta üzerinden geliyor ya da ağ üzerinden yabancı bilgisayarlarda yuvalanıyor. Web sitelerini çökertip yerel sürücüleri serbestçe paylaşıma açıyor. “W32/SirCam” kendi e-posta sunucusuyla (SMTP Engine) donatılmış ilk solucan. Kendini ağdaki sürücülere kopyalayabiliyor ve ağ üzerinde de yayılabiliyor. Salgınların yılı: On iki büyük ve 34 daha küçük salgın tespit edilmiş durumda. “Spida” SQL Server’lara bulaşıyor. “Slapper” dünya çapında binlerce Linux sistemine bulaşıyor. “Malware” denilen kötü amaçlı ticari yazılımların sayısı artıyor. Bu programlar gizli verileri ve parolaları ispiyonluyor. Her on enfeksiyondan altısı internet solucanlarından kaynaklanıyor. Bunlar da çoğunlukla Internet Explorer üzerinden geliyor. “Klez H” ve “Klez E” gemi azıya alıyor. 9. Ocak: Koskoca bir solucan ailesinin ilk örneği Sobig A yayılmaya başlıyor. 10. Ocak: O zamana değin tasavvur edilemeyen bir virüs felaketi. Slammer’ın internet üzerindeki tüm Microsoft SQL Server’ların yüzde 90’ını felce uğratması için geçen süre yalnızca on dakika. Bu solucan makinelerde bir değişiklik yapmasa da UDP protokol yığınını çökertiyor. Bunun sonucunda etkilenen sunucu, solucanı 1434 numaralı UDP portu üzerinden rastlantısal IP adreslerine gönderiyor. 11. Ağustos: Tüm zamanların en başarı lı solucanı Blaster ortaya çıkıyor. Blaster, Microsoft RPC’lerdeki (Remote Procedure Calls) bir açık sayesinde yayılıyor. 12. Ağustos: Sobig solucanının 6. sürümü olan Sobig.F ortaya çıkıyor. Yazarı, bu programı bir spam göndericinin adres listesi üzerinden yolladığı için e-posta trafi- ğinin altı üstüne geliyor. 2000 2001 2002 2003 k Bir çöküşün hikayesi: Bir ağ işleticisinin gözünden Slammer saldırısının iki günü. İlgili bir sunucudan diğerine olan bağlantı renkle şöyle ifade ediliyor: Sarı alışılmadık derecede yavaş, kırmızı çoktan tıkanmış hatları temsil ediyor. 134 CHIP | OCAK 2004 çoğu zaman eski tanıdıkların değiştirilmiş, yeni çeşitleri. Bazılarının yalnızca içerdiği metin satırları değişiyor, bazılarıysa kamuşaj yoluyla, neredeyse fark edilmesi mümkün olmayacak şekilde modifiye edilmiş oluyorlar. Tüm çeşitleri hesaba katıldığında, bugün bilinen virüs sayısı 90.000 civarında. Ne var ki, bu virüslerin pek az bir kısmı sansasyon yaratan haberlerle adını duyurabiliyor. Bununla beraber adı sanı duyulmamış, yeterince yaygınlık kazanamamış virüslerin daha az tehlikeli olduğunu söylemek mümkün değil. “İnternette arka plan hışırtısı giderek güçleniyor,” diye anımsatıyor Marx. Bunlar arasında, yayılması için programlanmamış, bilakis belirli bir yerlerde belirli bir hasara yol açması için yazılmış parazitler de bulunmakta. Bu tarz zararlı kodlar, örneğin endüstriyel sabotaj ve casusluk amacıyla kullanılabiliyor. Bir kez yerine yerleştirilen programlar çaldıkları gizli verileri dışarıya gönderiyor ya da firmaları toptan felce uğratıyorlar. Ancak virüslerin en acımasız olanları, zararları hemen ortaya çıkmayanlar. Görünürdeki zararları gidermek için sadece yedekleri yüklemek yetecekken, bazı virüsler haftalar, hatta aylar boyunca verileri bozuyor ve bir firmanın tüm kayıtlarını bir veri çöplüğüne çevirebiliyor. Microsoft’un hakimiyetine yönelik eleştiri artıyor Birçok uzman Microsoft’un hakimiyetinde bir güvenlik riski görüyor, çünkü homojen yapılarda her bir güvenlik açığı bir felakete yol açabilir. Hatta Amerikalı güvenlik uzmanı Bruce Schneier, Microsoft’a en son solucan salgınlarından dolayı hesap sorulmasını istiyor. Schneier açık kaynak kodlu programların kullanımını tavsiye eden bir raporun hazırlanmasına da katkıda bulunmuş bulunuyor. Uzmanların görüşleri, Microsoft ürünlerinin ulusal güvenlik için tehdit oluşturduğunda birleşiyor. Nükleer santraller gibi hassas yapılar da tehlike altında Virüslerin gölgesi altında yaşayanlar, sadece maddi zararın söz konusu olduğu firmalar değil. Nükleer santraller gibi güvenlik alanları da hacker saldırılarından nasibini alabiliyor, en azından ABD’de durum böyle. Örneğin Slammer 2. Bilgisayarı yeniden programlama: Solucanın başındaki 01 dizileri Server istekleri için öngörülen 128 byte’ı aşıyor ve komşu yığıta (stack’e) akıyor. Stack’i, kabaca, bilgisayarın sıradaki görevini içeren bir liste olarak tanımlayabiliriz. Bilgisayarın mevcut komutlarının üzerine, Slammer’ın sıradan sorgular olarak gizlediği yeni komutlar yazılıyor. Bilgisayar farkına varmadan kendi programını değiştiriyor. 4. Çoğalma: Slammer, rastlantısal olarak ürettiği adrese kendi kodunu gönderiyor. Bulaştığı bilgisayar da bunun bir kopyasını çıkarıp yeni bir adres üretiyor. 1. İçeri sızma Slammer kendini masum veritabanı sorguları gönderen tek bir UDP veritabanı paketi olarak kamuşe ediyor. TCP/IP’nin tersine, bu protokolde veriler değiş tokuş edilmeden önce bir “el sıkışma” işlemi beklenmiyor. 04 numaralı veri dizesinin ilk byte’ı, SQL Server’a gelen verilerin aradığı veritabanının adını içeriyor. Microsoft’ un açıklamalarına göre bu ad en fazla 16 byte uzunluğunda olabiliyor ve 00 değeriyle son buluyor. Ama Slammer paketinin byte’ları 00 içermedi ği için buradan taşıyor, bu yüzden de SQL yazılımı, her şeyi belleğe alıyor. 3. Yeni kurban arama: Slammer, internetteki herhangi başka bir bilgisayara ulaşmak için gelişigüzel bir IP adresi üretiyor. Rastlantısal bir seçimde bulunmak için, CPU’nun sistem saatinin milisaniye hanesini okuyor ve bundan bir IP adresi üretiyor. 5. Yineleme: Slammer derhal başka bir bilgisayara ulaşmak için bir “thread” yürütüyor. Zaman kaybetmemek için sistem saatine tekrar başvurmuyor, bellekte tuttuğu adresin bitlerini karıştırarak yeni bir adres üretiyor. SQL Slammer, birçok uzman için bir virüsün ağda nasıl yayılabileceğini gösteren bir örnek. Gayet basit bir program olan solucanın bulaşma sayısı - kodu çok geçmeden web’de yer aldı - her 8,5 saniyede bir ikiye katlanıyordu. İnternet adeta donup kalmıştı. »Slammer interneti böyle felce uğrattı İLKEL AMA ÇOK ETKİLİ Yarının virüsleri GÜNCEL » KAPAK » DONANIM » YAZILIM » HI-TECH » PRATİK » INTERNET 135 solucanı, Davis-Besse nükleer santraline de ulaşmış ve gözetim bilgisayarlarını beş saat boyunca devre dışı bıraktı. Bu santralin o anda kullanılmıyor olması, daha çok bir raslantı olsa gerek. Andreas Marx sorunun asıl kaynağına işaret ediyor: “Amerikan santrallerinin yönetim kademelerinde, ölçüm ve yönetim elektroniği için Windows çalıştıran bilgisayarlardan faydalanılıyor, çünkü herkes Windows’u kullanmasını biliyor.” Güvenlik bakımından önem arz eden sistemler birbirlerinden tümüyle ayrılmadığı, hatta süreç yönetimiyle internet bağlantısına sahip ağlar birbirine bağlı olduğundan, sistemler Microsoft ürünlerindeki güvenlik gedikleri üzerinden gelebilecek saldırılara karşı savunmasız. www.cert.org www.nai.com www.symantec.com www.kaspersky.com www.f-secure.com www.trendmicro-europe.com www.messagelabs.com www.pandasoftware.com www.bsi.de www.ccianet.org BİLGİ İÇİN Alman nükleer santrallerinde bu tip tehlikeler söz konusu değil. Altyapı çok sıkı şekilde hazırlanmış. İlke olarak, dışarıya giden bağlantılar santralin yönetim sistemlerinden tamamen ayrı. Büyüyen virüs tehdidine rağmen Christoph Fischer pes etmek için hiçbir neden görmüyor. O, “Hiçbir virüs mükemmel değildir” fikrini savunuyor. Virüslerin birçoğu zaten istenmeyen yan etkiler ve bozulmalarla kendini ele veriyor Fisher’in deneyimlerine göre. “Her şey çok karmaşık bir hal aldı, virüs programlamak da öyle” diye sırıtarak gülüyor virüs avcısı. Artık duya duya kanıksadığımız “Virüs tarayıcı kurmayı, yedek almayı ihmal etmeyin” lafı dışında, şöyle bir de kişisel ipucu veriyor: Her şeyi olabildiğince basit tutun! Buna, eline her geçeni e-postayla dünyaya yollamamak ve her dosyanın üzerine tıklamamak da dahil. Tavsiyenin devamı, her yeniliği anında uygulamaktansa biraz beklemek, böylece yeni yazılımların güvenlik riski yaratıp yaratmadığını görmek Virüs sorununun gerçekten çözümü yalnızca tümüyle farklı bilgisayar yapılarına geçişle mümkün olabilir. “Teorik olarak Windows’un ve Linux da dahil Unix dünyasının yerini yeni bir şeyin alması gerekiyor” diyor Fischer, bunun gerçekçi olmadığını bile bile: “Bu da muazzam bir yatırım gerektirirdi.” _ MF / Garo Antikacıoğlu, agaro@chip.com.tr » Solucan salgınlarının yol açtığı zararlardan dolayı Microsoft’tan hesap sorulmalı. Bruce Schneier, Counterpane Internet Security ___M___P___3___ ___s___o___n___r___a___sı___ ___d_____n___y___a Yeni codec'ler bariz bir şekilde MP3'ün pabucunu dama attılar. Bu başarıyı, daha düşük veri akış hızlarında daha kaliteli ses üretmelerine borçlular. Peki MP3’ün beş varisi arasından hangisi en iyisi? Mp3 ortaya çıktığı anda müzik dünyasında bir devrim yaşandı. Kaliteli sayılan 128 Kbit/s örnekleme hızına sahip MP3 şarkılar orijinallerinin boyut olarak onda biri kadar yer kaplıyorlar. Bu boyutlarıyla da web üzerinden dağıtımları ya da farklı ortamlarda saklanmaları mümkün oluyor. Bunun yanında ses codec'lerinin yeni nesli de yolda, üstelik MP3'ten daha iyi olacakları da kesin görünüyor. Bu codec’ler 64 Kbit/s veri akış hızında yaklaşık CD kalitesini vaat ediyorlar, bunun anlamı da yeni kodlayıcı kullanımı ile harcanan alanın neredeyse yarı yarıya azalması. Bu hızdaki şarkılar orijinallerine göre 20 kat daha az yer tutuyorlar ve bu da internette dar bant genişliğine çare, taşınabilir cihazlar için ya da çok kanallı kayıtlar için çözüm oluyor. Peki 64 Kbit/s'lik hızla CD ses kalitesi iddiası doğru mu? Bu sorunun cevabını alabilmek için 48 ile 80 Kbit/s arası hızlardaki testlerimize göz atabilirsiniz. Eğer iddia doğruysa MP3'ün 128 Kbit/s ile devri kapanıyor. AAC veya WMA9 gibi yeni formatlar MP3'ü en azından teknolojik olarak sol- ___T___e___s___t___:___ ___S___e___s___ ___k___o___d___l___a___yı___cı___l___a___r ladılar. Sesi daha esnek işliyorlar ve başka yerlerde kazandıkları alanı gereken yerlerde kullanıyorlar. Stereo seslerde her iki kanalda da aynı ses olduğunda hangilerini sadece bir kere kaydetmeleri gerektiğini daha iyi hesaplıyorlar. Çıkıştaki dosyayı en etkili şekilde küçültebilmek için daha iyi sıkıştırma algoritmalarına da sahipler. Ama testimizin iki katılımcısı, aacPlus ve mp3Pro, bir adım daha ileride: SBR (Yazının sonundaki sözlüğe bakınız) adı verilen tekniği kullanarak düşük veri akış hızlarında bile kaliteli ses veriyorlar. SBR diğer kodlayıcıların yaptığı insan kulağının duymadığı yüksek frekansları kırpma işleminin tam tersini yerine getiriyor ve bu frekansları da yeniden oluşturmayı sağlayacak şekilde kodlama yapıyor (Detay için kutuya bkz. s137). Bu metod 48 ile 64 Kbit/s hızlar arasında etkili oluyor; çünkü aksi takdirde daha iyi duyulabilen frekanslar eksik kalıyor ve bu da frekansların eksik olması da kaliteyi doğrudan etkiliyor. Sonuç olarak teknoloji çok şey vaat ediyor. Ama bu, yeni kodlayıcıların pazarda hemen kendilerine yer edineceği anlamına gelmiyor. Çünkü ses kalitesinin yanında yaygınlık da önemli bir faktör. Çok iyi sıkıştırsa da, çok iyi bir ses kalitesine sahip de olsa eğer kod çözücüsü yaygın değilse kodlayıcı da çok tercih edilmeyecektir. Yaygınlık konusunda MP3 halen başı çekiyor. Tüm müzikseverler MP3 kod çözücüye sahip ve dinleyebiliyorlar. Ancak bu yakında değişebilir. Nero 6 ile beraber gelen CD yazma uygulaması bir kodlama makinesi gibi. Sadece AAC kodlayıcıyı değil, aacPlus ve mp3Pro'yu da paket içinde bulabilirsiniz. Testimize de soktuğumuz bedava (freeware) dağıtımı http://neroplugins. cd-rw.org adresinden indirebilir, böylelikle Nero üzerinde tüm yeni ses kodlayıcılarını deneyebilirsiniz. Buradaki tüm dosya biçimlerini çalabilmeniz için de bir araç sunuyor Ahead: Nero Media Player. Ancak size önerimiz, Nero'yla çalışmaya başlamadan önce testimizi inceleyip hangi kodlayıcıyı kullanmanın gerçekten işinize yarayacağını tespit etmeniz. ___a___a___c___P___l___u___s___:___ Testimizin birincisinin ne kadar iyi ses verdiğini ve hangi özellikleri sunduğunu kendisine ayırdığımız köşede okuyabilirsiniz. CHIP | OCAK 2004

Arşiv Listesi