İnternette Gerçek Güvenlik

Güvenlik kuşkusuz modern çağın en önemli gereksinimlerinden biri…

Peki ya kendimizi yeterince güvende hissediyor muyuz? Yaşam, teknoloji ile etkileşim halinde hızla farklılaşırken, kaçınılmaz biçimde hayatımıza soktuğumuz yeni risklere karşı korunmasız olduğumuzun farkında mıyız? Çoğunlukla hayır…

Tıpkı yeni yaşam alanımız; internette yeterince güvende olmadığımız gibi…

Internet bu denli hayatımıza girip, e-ticaret ve internet bankacılığı yoluyla paranın sanal dolaşımı bu kadar hızlanınca, internetten yönelen riskler de çığ gibi arttı. İlk yıllarda hacker olarak adlandırılan kötü niyetli kişiler sadece bilgisayarlarımıza zarar verirken, bugünün internet kanunsuzları, doğrudan bizleri ve şirketlerimizi hedef almaya başladı.

Bir sabah kalktığınızda, banka hesabınızdan onbinlerce doların sizden habersiz hiç bilmediğiniz bir hesaba EFT yapılmış olduğunu görebilirsiniz. Ya da siz hiç harcama yapmadan kredi kartı limitinizin bir anda tükendiğini…

Internet hırsızları, internetten bilgisayarınıza sizden habersiz yükledikleri bir zararlı yazılım ile bilgisayarımızın klavyesini ya da ekranını takip ediyor olabilirler. Ya da ezberlemek yerine kopyalamayı tercih ettiğiniz banka şifreleriniz, bilgisayar panonuzu gizlice izleyen bir başkasının eline geçebilir. Diz üstü bilgisayarınızdaki sabit web kameranızı siz kapalı zannederken, birileri sizden habersiz çalıştırıp başkasına ulaşmasını hiç istemediğiniz görüntülerinizi kaydedebilir. Görüntüye konu olan sizseniz, bu bir şantaja dönüşebilir. Evinize ya da işyerinize yerleştirdiğiniz güvenlik kameralarının görüntülerini sizinle birlikte onlar da izliyorsa, hırsızların ekmeğine yağ sürmüşsünüz demektir.

Bankaların güvenlik altyapıları, sisteme girdikten sonra korumaya başlıyor…

“Internette güvenlik” dünyanın her yanında, tüm bilgisayar kullanıcıları için yaşamsal önem taşıyor. Bankalar, büyük e-ticaret siteleri, tabiî ki güvenlik altyapılarına milyonlarca dolarlık yatırım yapıyor, her yıl yeniledikleri teknolojileriyle, kendi sistemlerinde neredeyse hiçbir güvenlik açığı bırakmıyor.Ama gelin görün ki, kişiler bankaların ya da e-ticaret sitelerinin güvenli sistemlerine girebilmek için gerekli şifreleri kendi bilgisayarlarına yazarak giriyor.. O sisteme girebilmek için, kişisel bilgisayarlara yazılan şifreler ise, kolayca çalınabiliyor…

Biz Türkler, hastalıktan, radyasyondan, depremden, trafikten korkmadığımızı, yeterli önlemleri almayarak bugüne kadar defalarca kanıtladık. Internette de durum hiç farklı değil.

Kimi zaman tıkladığımız bir web sitesi, kimi zaman tanıdığımızı sandığımız adresten gelen bir e-mail, yukarıda sayılan risklerle bizi karşı karşıya bıraksa da, “tıklamaktan” çekinmiyoruz. Üstelik korunmaya bile gerek duymadan….Türkiye’de, internet üzerinden çaldıkları 7 milyon YTL ile Rio’da lüks hayat yaşadıktan sonra yakayı ele veren şebeke ile ilgili haberler, daha birkaç hafta önce basına yansıdığı halde … Tıklıyoruz, tıklamaya devam ediyoruz. Bilgisayarlarımıza, anti-virüs programları yüklüyorsak da, birkaç on YTL ödemek yerine, büyük çoğunlukla yasadışı kopyalarını kullanmayı kar sayıyoruz.

Amacımız, Zemana AntiLogger’ı uzun uzun anlatarak. daha fazla zamanınızı almak değil. Sadece bilinen ve yaygın olarak kullanılan klasik anti-virüs programlarından farklı olarak;

- Bilgisayarınızı yalnızca virüslere karşı değil, özellikle sizi yukarıda sayılan risklere karşı, zararlı yazılımların saldırılarından koruyan, özel geliştirilmiş 6 değişik modüle sahip olduğunu…

- Virüsleri, kullandıkları zararlı yazılım listesinde yer alıyorsa bulan klasik anti-virüs programlarının aksine, Zemana AntiLogger’ın bilgisayarınızda olmaması gereken bir yazılımı fark ederek, kaynağını ve işlevini araştırarak sizi “sezgisel” olarak koruduğunu vurgulamak istiyoruz.

Çünkü, Zemana AntiLogger’ın “bilinen zararlı yazılımların yanında bilinmeyen zararlı yazılımlara karşı da size koruma sağlama özelliğinin”, teknolojinin hızla değiştiği internet dünyasında, “sürdürülebilir güvenliğin ” temel koşulu olduğuna inanıyoruz.

Gelecek DNS atakları

İnternet dünyası gelmiş geçmiş en büyük toplu yamaya hazırlanıyor. Çünkü DNS protokolünün kendisinde tespit edilen bir zafiyet özellikle ISP'ler için tehlike saçıyor. Bu durum, kullanıcıların internet trafiğinin yönlendirilebilir ve dinlenebilir olmasını kılıyor.

Microsoft konu ile ilgili yama yayınladı. Gündemi takip edenler bilirler, bu yamadan sonra bilgisayarlarında ZoneAlarm Firewall yüklü olanların internet bağlantısı kesildi.

Bu zafiyet DNS protokolünün temelinde oluştuğu için DNS server ve client üreticileri eğer DNS sistemini kendileri değilde 3. parti DNS library'ler ile kurmuşlar ise malesef kullandıkları library'lerin güncellenmelerini beklemek zorunda kalacaklardır. Bu durum ciddi sorunlar yaratacak gibi gözüküyor.

Tam olarak zafiyetin nasıl exploit edileceğini gösteren bir kod yayımlanmadığı için bunu henüz kötüye kullanan olmadı, ancak 2 Ağuston Las Vegas,USA da yapılacak olan güvenlik konferansında exploit edilecek ve gösterilecektir. Bir an önce özellikle ISP ve network yöneticilerinin gerekli önlemleri alması gerekiyor.

Son kulanıcıya ise malesef sadece DNS client tarafında çıkan yamaları kurmak kalıyor. Ancak belirttiğimiz gibi ISP de durum düzeltilmezse son kullanıcının yama yükleyip yüklemediğinin pek önemi kalmayacaktır.

2008'de AntiVirus endüstrisi

Ikarus Security , 1998 ve 2008 yılları arasında AntiVirus endüstrisindeki değişikliği bir karikatür ile ifade etmiş ve gerçekten de çok başarılı ifade ettiğini düşünüyoruz.

Her AntiVirus üreticisinin yapamayacağı bir büyüklük ile gelinen durumun gerçekliğini gösterebildiği için de kendilerini tebrik ediyoruz.

Bilmeyenler için not düşelim; Kendileri de AntiVirus üretiyorlar.

Oyun arası hack :)

Enteresan bir video.

Ntldrbot (Rustock.C)

Geçenlerde bir AntiVirus firması ve bir virüs araştırmacısı, Şeytanın kalbi adını verdikleri ve şimdiye kadar yapılmış en karmaşık rootkitin piyasada olduğunu duyurdular. Antivirüs firması sözkonusu rootkit yazılımının 2006 yılından beri piyasada olduğunu ancak kendi antivirüsleri hariç hiç bir antivirus veya HIPS programının saptayamadığını iddia ediyordu.

Birileri kesin birşeyleri fazla abartıyordu abartmasına ama gündemde bu yazılanlara inananlar artınca güvenlik arenasında konuyla alakalı sıkı bir gündem oluştu.

Israrla bahsini ettikleri Rootkit yazılımının, HIPS programları tarafından da durdurulamadığını iddia ettikleri için, biz de analiz etmek ve AntiLogger’da dahili bulunan HIPS (System Savunma) modülüne yakalanmadan sisteme bulaşıp bulaşamadığını incelemek istedik.

İlk başlarda internette ulaştığımız tüm dosyalar .exe uzantılı ve import tablosu bulunmayan ama aslında driver olan dosyalardı. Bu driverlar da donanım uyumsuzluğu sebeblerinden dolayı sistemimizde çalışmıyordu.

En sonunda iş ortaklarımızdan birinden dosyanın gerçek dropper dosyası elimize geldi ve inceleme fırsatı bulduk.

İlerleyen satırlarda kullandığı yeni tekniklerden bahsedeceğiz ancak konuya geçmeden önce teknik bilgisi olmadığı halde yazımızı okuyacaklar için ilk önce analizimizin sonuçlarını özetlemek istiyoruz.

Ntldrbot, AntiLogger yüklü makinada sertifikasız windows driver yükleme alarmına sebep oldu ve engelleyince aktif olamadı.

Gerek polymorphic yapısında gerekse rootkit yapısında şimdiye kadar hiç kullanılmamış teknikler kullanılmış. Yapılış amacı ise spambot olmak yani bulaştığı makinayı spam göndermek için kullanmak. Yayılmak için ise p2p,torrent, email ne de benzer başka yöntemler kullanmadığı için yayılmamıştır. Kısacası istenilen yere manüel olarak gönderiliyor. Bu durumda Antivirüs üreticilerinin eline geçmeden 2 yıl boyunca saldırılarda kullanılmış olması çok doğaldır.

Polymorphic packer ile oluşturulmuş driver’i unpack etmek gerçekten de işin en zor kısmı. Çünkü kernel’de kullandığı AntiDebug hünerleri ile kernel debugger’lari çalıştırmak ve dinamik analiz yapmak mümkün olmuyor. Kullandığı gelişmiş ve karmaşık polymorphic yapısı ile bazen “mov eax,esp” gibi bir instruction’u 10-15 instruction’a denk gelecek şekilde mutasyona uğrattığı için static analizi de cok zor oluyor. HIPS modülümüzden geçememesinin rahatlığı ile driver’i unpack etmek yerine AntiDebug mekanizmalarını atlatıp WinDbg ile dinamik analize başladık.

Win XP SP2 EN NTFS sistemde calıştırdığımızda GMER hariç aralarında çok büyük firmaların da olduğu en tanınmış 7 AntiRootkit yazılımı ile taratmamıza rağmen hiçbiri birşey bulamadı.

Bunca farklı yöntemlerle tarama yapan çok tanınmış AntiRootkit’ler nasıl olurdu da birşey bulamazdı?

- Çünkü gizli bir dosya, process (uygulama) ya da registry (kayıt) girdisi yoktu. :) İlginç değil mi?

- Dropper çalıştığında %system32%\drivers\ içinde windows’a ait bir driver’a statik olarak bulaşıyor. Sistemde yeni bir driver oluşturmuyor. (Eski win32 virüslerde gördüğümüz pe infection yöntemine benzer şekilde kernel driver’a infect olma durumu)

- Ring3 te herhangi bir uygulama yaratmadığı için gizlenecek bir ProcessId de olmuyor.

- Bulaştığı driver, sistem başlangıcında zaten otomatik olarak başlayan bir driver olduğu için registry’de de herhangi bir başlama anahtarı oluşturmasına gerek kalmıyor.

- Normal win32 api ler kullanılarak infect olan driver okunduğunda ise orjinal driver olarak gözüküyor.

Bu ve buna benzer rootkitlerin tespit edilebilmesi için AntiRootkit’lerin sadece gizli dosya var mı diye bakmaktan bir adım daha ileri gidip, tüm sistem dosyalarının hash’larını ,win32 api ve raw metodları ile bulup kontrol etmesi ve bu iki sonucu karsılaştırması gerekiyor.

AntiVirus’ler raw modda tarama yaptıkları için eğer veri tabanlarında Rustock.C imzası mevcut ise bu dosyayı bulabilirler, ancak silme konusunda dikkatli olmaları gerekiyor. Çünkü sistem dosyası olduğu için, silinmesi sistemin tekrar başlayamamasına sebebiyet verir.

Peki spam gönderme işi de mi ring0 da oluyor ?

Hayır. Aslında bu spambot’un yapımcıları biraz daha uğraşsalar TDI ile bunu da ring0'da yapabilirlermiş ancak onlar winlogon.exe’ye thread inject ederek yapma yolunu seçmişler. Bu haliyle bile günümüzdeki tüm Personal Firewall ları bypass edip geçiyor. Ancak belki Rustock.D de network iletişimi tamamen ring0 da olabilir.

İleride yüksek ihtimalle bu tür zararlıların server-side-polymorphic olanlarını çok daha sık görmeye başlayacağız. İşte o zaman virüs imza veri tabanlı koruma yöntemleri tarihe tam olarak karışacak ve bu tip saldırılardan korunmanın tek yöntemi sezgisel koruma+HIPS+zeki kullanıcı kombinasyonu olacaktır.

Şu an çalışmalarına devam ettiğimiz ve çok yakında piyasaya süreceğimiz Zemana AntiRootkit yazılımımızın ntldrbot,bootkit,bluepill gibi gelişmiş rootkitleri yakalayabileceğinin haberini şimdiden vermek istiyoruz.

Zemana Beyaz Liste Teknolojisi (ZWLST)

Digital imza her ne kadar yazılım üreticilerinin olmassa olmazlarından olsa da hala günümüzde ürettiği yazılımları imzalamayan üreticiler bulunmaktadır. Bazı kullanıcılar popüler olan yazılımların çok eski sürümlerini kullanmakta ve bu sürümler zamanında imzalanmamış olabilmektedir. Bunun yayında bedava dağıtımı yapılan programlar ise yapımcısına digital imza sertifikası alındığında artı maliyet getireceğinden yapımcısı tarafından imzalanmamaktadır.
Zemana AntiLogger özelliklerinden biri de; bilgisayarınızda çalışmaya başlayacak herhangi bir yazılımın zararlı eylem metodu sınıfına giren herhangi bir eylem yapmaya yeltenmesi durumunda digital imzasını kontrol etmesidir. Eğer digital imza var ise kullanıcının haberi olmadan izin vermekte, aksi halde kullanıcıya izin verip vermeyeceği konusunda soru sormaktadır. Bu durumlarda eğer ilk başta açıkladığımız herhangi bir nedenden dolayı meşru bir yazılım digital olarak imzalanmamış ise AntiLogger soru sormakta, bazen kullanıcıyı yormakta veya yanlış karar vermesine neden olabilmektedir. Tüm bu sorunları ortadan kaldırmak veya en aza indirgemek için "Zemana Beyaz Liste Teknolojisi" adını verdiğimiz sistemi geliştirdik. Her ne kadar kendi ekibimiz, imzasız fakat meşru ve popüler olan birçok yazılımdan imza toplasa da ekibimizin bilmediği daha birçok meşru ve popüler yazılımlar siz kullanıcılarımız tarafından kullanılabiliyor olabilir. Bu nedenler dolayı siz değerli kullanıcılarımızdan “Kurallar” listesine aldığı yazılımların imzalarını talep ediyoruz.

Zemana Beyaz Liste Teknolojisi :
- Zemana AntiLogger, zararsız olduğu kanıtlanmış, meşru ve yaygın olarak kullanılan yazılımların bilgisini depolar.
- Zemana AntiLogger kullanıcısı, “Beyaz Listede” bulunan yazılımlar için gereksiz bir güvenlik uyarısı almaz.

Bu kayıtları bize iletebilmeniz için yapmanız gereken işlemler şu şekildedir:
Adım 1: http://www.zemana.com/images/BetaShots/sshot-1.jpg
AntiLogger ikonuna iki kez tıklayarak, AntiLogger arayüzünü açınız ve AntiLogger menüsünden GÖREVLER > KURALLAR tıklayınız. Yukarıdaki sshot-1.JPG dosyasında görülen liste ile karşılaşacaksınız.
Adım 2: http://www.zemana.com/images/BetaShots/sshot-2.jpg
Yukarıdaki resimde görüldüğü gibi, listenin üzerinde herhangi bir yere SAĞ TIKLAYINIZ ve KURALLARI KAYDET seçiniz.
Adım 3: http://www.zemana.com/images/BetaShots/sshot-3.jpg
Karşınıza çıkan pencerede kayıt listesini kaydetmek istediğiniz yeri seçiniz, böylece kayıtların bulunduğu AntiLogger Rules.INI dosyasını kaydetmiş olacaksınız.
Adım 4: http://www.zemana.com/images/BetaShots/sshot-4.jpg
Adım 3'te seçtiğiniz klasöre gidiniz ve ANTILOGGERRULES.INI dosyasını bize (CONTACT@ZEMANA.COM) mail ile gönderiniz.
NOT: ANTILOGGER.INI dosyası izin verilen ya da engellenen programların bilgisi dışında hiçbir bilgi taşımamaktadır.
Şimdiden teşekkür ederiz.

Teşekkürler TEAkolik !!

Bilişim teknolojileri üzerine blog yazan ve bu sektörde hatırı sayılır yere sahip olan TEAkolik arkadaşımıza, bloğu http://www.teakolik.com/ da programımız AntiLogger’a yer verip tanıtımını yaptığı için teşekkür ediyoruz. Söz konusu yazı dizisine aşağıdaki linklerden ulaşabilirsiniz.

zemana-antilogger-program-testi

zemana-antilogger-program-testi2

zemana-antilogger-program-testi3