a.celil erman

Yapamayacakları işi yapabilecekleri savına girmezler,

Deneyimli bir hacker değillerse resmi yani kamu kurum ve kuruluşlarının

Proxy sunucu ve shell kullanmadan domain siteye sızmaya çalışmazlar,

Kullandıkları şifreleri (passwords) sürekli değiştiriler ve şifrelerini (passwords) kimlerin bildiğinden de gayet emindirler,

Yeni virüs vb. kötü kodlamalara karşı sürekli olarak AVP’ (Anti Virüs Programları) lerini güncellerler. Bu tür olaylarla uğraştıklarından haftada ortalama 1000’ nin üzerinde, virüs (virus), Truva Atı (Trojan Horse) ve Solucanın (Worm) ortaya çıktığını çok iyi bilirler. Kendilerinin de bu kötü kodlamalardan bağışık olmadığını bildikleri için bakın hangi AVP’ leri kullanmaktalar. tabii burada söznü ettiğim programlar, elde ettiğim bilgilerdeki ortalamayı göstermektedir. Sitelerinde şu sıralar Top Üç dedikleri AVP’ ler şunlardır: Norton Antivirus www.symantec.com, Mcaffee Antivirus www.mcaffee.com, The Cleaner (Bunu özellikle övüyorlar, 1000 Truva Atnı tanıdığını ve ilaveten bir çok özelliği olduğunu belirtiyorlar) www.moosoft.com.

ICQ ve benzeri muhabbet (chat) ortamlarına (platforms) ait bilgilerinde (user profile) çalıntı (ripped) email adresi kullanmazlar. Böyle yaparlarsa emailini çaldıkları kişinin şayet oda kendilieri gibi bir tipse, şifrelerini ele geçirebileceğini bilirler. Bunun yerine başka bir süistimal (exploit) yolu denerler. Kendi email adrslerini kisişsel bilgi (user profile) kısmına koyacak birini bulmak. Kullanıcı şifrelerini çalmak için (pilfer) kullanıcının (user) IP numarasını öğrenmeleri yeterlidir. Böylece kurbanların (victims) kullanıcı şifreleri (user passwords) kendiliğinden email ile kötü niyetli kişinin (malicious person) eline ulaşır.

Tanıdıkları (known persons) yada tanımadıkları (unknown persons) ama özellikle tanıdıkları hiç kimseden bir dosya (file) kabul etmezler. Bunun bir çok bilgisayar kullanıcısına virüs bulaştırma (infection) yöntemlerinden birsi olduğunu gayet iyi bilirler. Dosya (file) deyince, ileti (email) ekinde (attachment) gelen yada gönderilen her türlü eklenti (attachment) dosyası (file) olduğunu düşünmek gerekir.

Şimdi böyle bir hata yapmış yani tanıdığı (known person) yada tanımadığı birisinden (unknown person) aldığı ileti (email) ekindeki (attachment) dosyayı (file), çoğunlukla UYA, Uzaktan Yönetim Aracını (RAT, Remote Administration Tools) tıklamış (click) yada açmış (open or run) olan bir masum (innocent) kurbanın (victim) başına böyle bir olayın nasıl gelebileceği öyküsünü canlandırmaya çalışalım. ÇılgınAytaşı isimli biri şu meşhur Netbus isimli bir UYA indirmiştir bir siteden ve kendine göre eğlenmek istemekte ve ilk kurbanının kim yada kimler olacağını merak etmektedir. ICQ yada her ne platform kullanıyorsa, ortalıkta şöyle bir dolaşır ve inceler. Sonunda kendine bir kurban (victim) bulur. ÇekiciÇiçek. Kurbanının (victim) kullanıcı bilgisi (user profile) bir göz atar. Bayan (female), yaş (age) 14 vb. ÇılgınAytaşı, ÇekiciÇiçek ile muhabbete (chatting) başlar, önce

“Hey tatlım resmin varmı?” (Hey honey, have you any pic;?) diye sorar ÇılgınAytaşı, ÇekiciÇiçek’ e. Kızda,

“Evet var, görmek istermisin ?” (Yes, I have, do you wanna to see it?) der. Çocuk,

“Evet, ltf çok merak ettim” (Yep, I wonder much) der. Kız resmini yollar ve Çocuk,

“Harika, müthiş görünüyorsun” (You look beautiful) der kıza. Kızda,

“Tsklr” (Thanx) diye cevap verir. Bu arada çocuk kızdan aldığı dosyayı açmamışta olabilir. Açmışsa bile virüs taraması yaptırdıktan sonra açmıştır. Şimdi çocuk kıza,

“Resmimi görmek istermisin?” (Wanna to see my pic?) diye sorar. Kızda

“Neden olmasın!” (Sure) diye cevaplar. ÇılgınAytaşı kıza .exe uzantılı dosyayı (.exe extension file), yani UYA’ (RAT) yı yollar. ÇekiciÇiçek, ÇılgınAytaşı’ nı merak etmektedir ve hemen dosyayı tıklar (clicking the file). Ama bir gariplik vardır, resim bir türlü açılmaz. Çocuğa dönüp,

“Hey noluyor, resim mesim yok burada?” (Hey, what’s the heck, there is not any pic opening here?) der. Çocukta,

“Allah kahretsin, bilgisayarında bir sorun olmalı” (Damn, there's probably something wrong with your computer) diye cevaplar.

Çocuk için olay bitmiştir. Bir şekilde kızla muhabbeti keser. Hemen Netbus’ ını yada her ne UYA’ ise açar, kurbanının (victim) IP numarasını girer ve güm. Artık ÇekiciÇiçek’ in bilgisayarının tüm denetimi (total control) onun elindedir. Ve kızın bunda heaberdar olması olanaksızdır. Taki belli uyarılar alıncaya yada bilgisayarında bazı gariplikleri farkedip çareler arayıncaya değin. Evet canladırma sizlere çok uzun ve de çok basit bir senaryo gibi görünmesin. Bu uygulanması basit, etkisi yüksek bir yöntemdir ve bilgisayarına bir UYA bulaşmış kurbanların etkilenme (infection) yollarının neredeyse yüze seksenini teşkil etmektedir. Bu yöntemi her kötü niyetli (malicious persons) kullanmaktadır.

Görünmez mail sunucusu yada programı (anonymous e-mail program or server) üzerinden görünmez ileti (anonymous mail) gönderen kötü niyetli kişiler tehdit mesajları (threating messages) yada onlara zarar verici eklentileri (harmful files) yollamazlar. Bu tür hizmet sağlayan sitelerin Hizmet politikaları (Sercice Policy) açıktır ve gerektiğinde resmi kurumlara uyarıcı bilgileri aktarmakta yada kayıtlarını (logs) inceleme için onlara devretmektedirler. Kendilerine ait bilgilerin yani adresin, host ve IP numaralarının izlendiğini bilirler. Bunu atlatan daha bilgili hackerlarda vardır ama tüm bu gerçekleri gözönünde tutarak davranırlar. Çünkü, özellikle ABD’ de Federaller ve FBI yetkilileri, mail sunucusundan, bağlanan her kullanıcınıngeçmişini istemekte ve inceleyebilmektedir. Böyelece kötü kişiler enselenebilmektedir (bust). Aslinda Türkiye’ de de bu mümkündür ama bunun ne yasal bir dayanağı vardır ne de bu işlerle uğraşacak bir birim.

Hackerlar, hack sayfa yada sitelerini Bir zamanların http://www.xoom.com u olan şimdilerde http://www.nbci.com yada mp3 bölümleri olan sitelerde, Napster’ ın mp3 bölümünde, ne bileyim buna benzer ücretsiz kişisel sayfa hizmeti sunan servislerde sayfa açmazlar, yada buna benzer yerlerde sayfa açmış hacker türü kişilerin sayfaları ile uğraşmazlar. Başlarına ne gelebileceğini tahmin eder, bu kişilerle başlarını belaya sokmak istemezler. Bu tür yerlerde sayfa açsalarda, sayfaları silinir. http://www.clubs.yahoo.com da veya http://www.nbci.com bir sürü hacker sayfası vardır. Çünkü ilgiki servisler bandgenişiliğ (bandwitch) ve yoğun trafin (increasing traffic) nedeni ile bu tür sayfaları denetler ve sonunda kapatırlar. Doğal olarak hackerlar tüm sayfalarının ve yayınladıkları bilgilerin güme gitmesini istemezler. Tüm sayfalarının yedeğini mutlaka kendi bilgisayarlarında tutarlar.

Domain ismi aldıklarında, önce ilgili domain’ i açıkları varmı yokmu diye incelerler. Çünkü hackleme işine kendi domain’ lerinden başlarlar. Bilinen bir kuraldan yola çıkarlar. Tüm heckleme olayları mevcut yazılım ve güvenlik boşluklarından istifade edilerek yapılır. Diğer taraftan domain’ lerinin sağlam olmasını isterler. Diğer hackerların sistemi bypass edip, belli suistimal yöntemlerini kullanarak, örneğin php, test cgi, finger, aglimpse, phf, vti_pvt, pwl, pwd, wrap, iisadmin, service pwd, trinoo, vb. kendi sayfalarına ulaşabileceğini bilirler.

Hackerlar, bilgisayarlarındaki bazı dosyları hemen yok ederler. Mesela kurabiye programları (cookies), Gezginin (Browser) Geçmiş’ i (History) yada Geçici Internet Dosyaları (Temporary Internet Files). Bilindiği üzere, kurabiye programları (cookies) sonraki kullanım yada belli amaçlar için kullanılmak üzere webmaster’ larin kullanıcıya ait bilgileri depolayıp, kullanıcının bilgisayarına yükledikleri programlardır. Örneğin http://www.mail.yahoo.com un mail sunucusundan yararlanılmaktadır. Ilgili sayfada bir seçenek (option) vardır. Şifrenizin kaydedin (save your password) diye. Bu kullanıcıları zahmetten kurtarmak amacı ile oluşturulmuş bir kolaylıktır (facility). İşte bu ve buna benzer bilgiler bu kurabiye programlarının (cookies) içinde saklanmaktadır. Hatta bazı bilgiler şifrelenmiş (encrypted) olarakta saklanmaktadır. Bu durumda biz normal bilgisayar kullanıcılarınında bundan uzak durması lazımdır. Kurabiye programlarını (cookies) silme yöntemi (deletion method) şöyledir.

ii. Burada cookies.txt dosyası bulunur,

iii. burada yer alan tüm bilgiler silinir (delet).

b. IE, Internet Explorer için;

ii. Geçici Internet Dosyaları (Temporary Internet Files),

iii. İşte burada yer alan tüm dosyalar sinir. Bunlar sadece kasa (cache) ve kurabiye programlarından (cookies) ibaret torba dolusu programlardır. Silerken belli uyarılar verir silinmesin diye ama silinmesi bilgisayarın çalışmasına kesinlikle zarar vermez.

Hackerlar, belli programları tanıdıkları dahi yollasa asla açmazlar. Onları asla yüklemezler. Hangi programlarımı? Tabiiki oyun programlarını (games). Özellikle bir tanesi varki whackamole.exe isimli oyun programını. Yada bunun özelliklerini taşıyan diğer oyun programlarını. Bu yada buna benzer oyun programları öyle bir programdırki bilmeyenler için hiç bir anlam ifade etmez. Basit bir oyundur. Oyun bilgisayara yüklendiğinde, geri planda bilgisayarın C:Windows dizini (directory) altına Netbus isimli Truva Atını (Trojan Horse) yükler. Kurbanı tamamen hissisleştirip sıradan bir oyunmuş hissi uyandırır. Ama bu arada programı yollan kişi apartta bekleyecek, kuraban (victim) hatta bağlanınca (online) bilgisayrın denetimini ele alacaktır (getting access control). Ne demiştim, bu oyun programına benzeyen bir sürü oyun bulunmaktadır. Kötü niyetliler bu programları Truva Atlarını (Trojan Horses) gömmekte ve masum kullanıcıları aldatmaktalar (fool). Bunlara karşı dikkatli olunmalıdır.

Hackerlardan kendi .pwl dosyaları (.pwl files) istendiğinde bunu asla vermezler. .pwl uzantılı dosyaların şifre dosyaları olduğunu artık öğrenmişizdir herhalde. Şayet bizden de bu dosyalarımız istenirse kesinlikle vermemiz gerektiğini anlamışızdır. Bu dosyalar bilgisayarımızda, işletim sistemi (operating system) olarak Windows x yada Novell kullanıyorsak iki içide geçerlidir. Şayet bu dosyalar kötü niteli kişilerin eline geçerse, bu şifrelerin hepsi kırılabilir. Bu dosyalar (files) bilgisayarımızın C:Windows (Directory) altında saklanmaktadır.

Ne demiştik, hackerlar tanıdıkları (known person) yada tanımadıkları kimseden (unknown person) dosya (file) kabul etmezler. Ettiklerinde de bir Truva Atı (Trojan Horse) bulaşabileceğini bilirler. Ya biz masum kullanıcılar buna dikkat ediyormuyuz? Bilgisayarımıza bir UYA bulaşması demek bilgisayarımızın başkalarının denetimine geçmesi demektir. Hackerler bundan kurtulma için temizleyici programlar kullanmaktalar. Mesela www.moosoft.com dan.

Hackerlar protpage yada IIS kullanmazlar. Frontpage programının en iyi program olduğu övgülerini bizde çok duymuşuzdur. Ama duymadığımız, Frontpage sunucularının ve ISS’ ın hackerların bir numaralı hedefleri olduğudur. Frontpage 98 ve 2000 sürümlerinin (version) bir sürü eksik ve gedik (exploits) tarafları bulunmaktadır. Frontpage yöneticilerin kolaylıkla kullanabildikleri bir programdır ama onun açık ve gediklerini (exploits) hep kulak arkası edilmektedir.

Hackerlerin kendi güvenlikleri için kullandıkları ve kendi aralarında yaygın olan iki program bulunmaktadır: Birisi Lockdown2000, www.Lockdown2000.com. Bu programın Internette kendilerini tamamen koruduğuna inanırlar. Bu program hackerları bomba saldırılarına (nuke attempts), Icq saldırılarına (icq attacks), Truva Atı saldırılarına (Trojan Horse attacks) karşı kroumakta ve izlemekteymiş. Bu programın ayrıca traceroute özelliğide olduğundan, şayet kendilerine başka bir hacker saldırırsa, kimin saldırdığını bu yolla tesbit edebilmekteymişler. Ben bu programı kullanmadım, ama şöhretini duydum. Bu program bir Firewall gibi hareket etmekteymiş. Ikinciside, Proxy sunucu kullanılrlar. Bunu bilenlerde vardır sonradan öğrenenlerde. Proxy sunucuların bazıları kötü kişiler için iyi hizmet vermekte bazıları ise sağladıkları bilgileri güvenlik güçlerine aktarmaktadır. Proxy sunucu kullanmak onların görünmez olmalarını (anonymous) sağlamaktadır.

Hackerlar, paranoid derecede şüphecidirler. Internet’ te konuştukları kişinin 90 yaşında hayattan bir şey beklemey bir tipde olabileceğini yada 8 yaşında ama sanki 30 larında birisi gibi davranan yada tam tersi kişiler olabileceğini bilirler. Sürekli olarak bilgisayarlarını herhangi bir ilave aparat yada bilgi aktarma alaetinin yerleştirilip yerleştirilmediğinden emin olmak için incelerler. Türkiyede pek değil ama, Avrupa ve ABD’ de yada Uzak Doğu ülkelerinde yaşayanlar sokaklarınıda şüpheli araç yada kişiler konusunda sürekli göz altında tutarlar. Türkiye de bu suçlarla ilgilenen doğrudan bir birim varmı bilmiyorum ama yaptırımı biz masum kullanıcıları tatmin edecek düzeyde olmadığını biliyorum. Hackerlar kimseye kendilerine ait bilgiler aktarmazlar. Telefondar arkadaş ve dostları ile dahi bu tür bilgileri konuşmaz herhangi bir bilgi aktarmazlar.

Şimdi biz masum kullanıcılar neden aynı konularda kötü niyetliler kadar duyarlı değiliz? Daha önceki yazılarımda söz etmiştim, sanal dünyada yaşlı gibi davranan aslında, genç, genç gibi davranan yaşlı, kadın gibi davranan erkek, erkek gibi davranan homosexuel, dindar gibi davranan ateist, ateist gibi davranan dindar, masum sıradan biri gibi davranan tam tersi çok kötü niyetli bir kişi olabilir. Sanal dünyada kendimeize ve ailemize ait bilgilerti dağıtmamız, aktarmamız başımıza dert açabilir. Küçük hatalar büyük dertlere yol açabilir. Mahrem bilgilerimiz konusunda çok duyarlı olmalıyız ve çocuklarımızı da anlayacakları bir dille uyarmalı ve denetim altında tutmalıyız.

Istenmeyen iletilerden (trashy mails) kurtulmak için bu tür iletileri aktarmayan yada kullanmayan servisleri tercih ederler.

Hackerlar önemli saydıkları tüm dosyalarının yedeğini (backup) alırlar. Bunun için basit yollar denerler. Sıradan 1.44MB’ lik bir Disketi sıkıştırıp (copmress) kendilerine göre önemli saydıkları dosyaları tek bir zip dosyası haline getirip yüklerler. Ya biz ne yapıyoruz masum kullanıcılar? Önemli dosyalarımızın ve uygulama programlarımızın mutlaka yedeğini hatta işletim sistemimizin yedeğini almamız gerekir. Zip prtogramları için www.winzip.com sitesine uğrayabiliriz. Yada başka zip programları kullanabiliriz. Önemli verilerimizin güvencede olması için önce kendimiz önlem almalı sonra bir sorunla karşılaşırsak başkalarından destek talep etmeliyiz.