-----------------------------------BoTNeT ATaKlLaRı ------------------------------------------

 Bu konuya şu sözle başlamak istiyorum,

"Hacker'lar benim bilgisayarıma girip ne yapacak? Bilgisayarımda hackerların ilgisini çekecek birşey yok."

Peki bilgisayarında bir işlemci, hafıza, hardisk, internet erişimidemi yok?
Her bilgisayarda internet erişimi dışında saydıklarımın hepsi vardır, hemen hemen artık herkeste de internet erişiminin olduğunuda düşünürsek...

Botnet nedir?

Botnet hackerların yazdıkları kötü niyetli kodcuların kurbanlara(bunları zombi diye isimlendirirler) bulaştırılıp onunların yukarıda saydığım bilgisayarın özelliklerini izinsiz kullanmalarıdır.Peki bu özellikleri nasıl kullanırlar,
işlemciden başlicak olursak:

İşlemci:Botneler e-posta göndermek, web trafiğini proxy'lemek ve servis kullanımı engelleme saldırıları (DDoS) gerçekleştirmek için zombi (slave)
makinaları kullanırlar. Bu da normalde sahip olmadıkları bir CPU gücünü kullanmalarını sağlar.
Hafıza:Kullanıcının webde gezinme alışkanlıkları, kullanıcı/şifre bilgileri ve diğer önemli bilgiler hafızadan yakalanabilir.
Hard-disk:Bazı botnet'ler korsan film ve şarkıları depolamak için dev bir kütüphane gibi davranırlar. Bu gibi durumlarda kullanıcıların hard disk
alanları kullanılır.
Internet erişimi/IP Adresi: Kara listede olmayan her yeni IP spam yapanların ilgisini çeker. Suçlular kara listede IP adresi olmayan bir makinada
kötü amaçlı web siteleri host edebilirler. Ve gerçek lokasyonlarını gizlemek için web trafiğini bu makina üzerinden geçirebilirler.

Bu olaya daha iyi anlayabileceğiniz şekilde yaklaşalım gördüğümüz somut bir örnekle, her dönem kayıt yenilemek için üniversitemizin "WebObis" servisini kullanıyoruz. İlk gün sisteme girmeye çalıştığımızda yoğunluktan giremiyoruz dimi işte ddos mantığıda bu şekildedir, düşünün ki yazıdığınız kodu 1000-2000 bilgisayara bulaştırdınız ve bu bilgisayarları kontrol edebiliyosunuz. Tüm bilgisayarları "WebObis'e" yönlendirdiniz sistem düştü ve zarara uğradık, mantık bu şekilde peki bu atakları nasıl önleriz? Şuan dünyada bunun %100 çözümü bulunmamakta sadece %50 ile %60 arasında bu ataklar önlenebiliyor ama çok pahalı uygulamalarla.

Ek bilgi:

Bu ataklar için etkili örnekler varmı?

Evet var microsoft ve mynet, microsoft yaklaşık 30 sn kadar iletişimi durduruldu ( bu kadar güçlü bir sisteme sizce kaç zombi ile saldırıldı ? )

Teorik olarak anlaşıldı ama bunlar(zombi) nasıl kontrol ediliyor?

Bu işi yapan kişiler tüm bilgisayarlara ayrı ayrı komut vermektense bunları bir merkezde topluyor. Merkez olarak yazdıkları programlar veya en çok kullanıkları irc sunuclarında( chat yapmak için girdiğimiz mesela mirc ile bağlandığımız sunucular) bir kanal açıp orda topluyorlar. Size bulaştığı anda otomatikmen o kanala giriş yapıyorsunuz.
- Bir ağa bağlı iseniz sizin ağınızı tarayıp diğer bilgisayarları bu işleme dahil edebiliyorlar.
- Kullandıkları bir kaç kodla tüm zombileri size yönlendirebiliyorlar.( saldır 192.168.1.1 gibi...)

Nasıl Etkilenmem ?

- Anti-virüs programınızı sürekli güncelleyin. Bu programcıklar public edilene kadar belki anti-virüs programları bir çare bulamaz ama bu kodlara yakın yazılmış programcıkları sezebilir.
- E-posta ile gelen ekteki dosyaları kesinlikle virüs taramasından geçirin.
- P2p(limewire) ile çektiğiniz dosyalara dikkat edin.
- Dosya uzantılarını gizlemeyin size gelen bir dosya *.doc diye gelip *.doc.exe olabilir.

Son söz olarakda :

"Hacker'lar benim bilgisayarıma girip ne yapacak? Bilgisayarımda hackerların ilgisini çekecek birşey yok." bu cümleyi kullanarak yazımı bitiriyorum.

Yazan: A. Gökalp Kuşçu

http://www.saubm.com

Kaynaklar:

http://isc.sans.org
http://www.olympos.org