Bilişim Suçları

Yönetenler ve yönetilenlerIRC(Internet Relay Chat) sadece kişilerin bir araya toplanıp konuştukları iletişim ağları konumundan çıkıp Bilgisayarların kontrollerinin sağlandığı ortam olarak ön plana çıkmaya başladı. Bot, genel olarak IRC ortamlarında kullanılan bir terim. Bot, kendisine tanımlanan komutları belirli bir çerçevede gerçekleştiren bir programdır. Böylece IRC ortamındaki kanallar, botlar vasıtasıyla kontrolü sağlanır.

 IRC(Internet Relay Chat) sadece kişilerin bir araya toplanıp konuştukları iletişim ağları konumundan çıkıp Bilgisayarların kontrollerinin sağlandığıortam olarak ön plana çıkmaya başladı. Bot, genel olarak IRC ortamlarında kullanılan bir terim. Bot, kendisine tanımlanan komutları belirli birçerçevede gerçekleştiren bir programdır. Böylece IRC ortamındaki kanallar, botlar vasıtasıyla kontrolü sağlanır.Son zamanlarda Bot kavramı daha çok saldırı amaçlı kullanılan sistemler için kullanılmaya başlandı. Bu tür bilgisayarların çoğunluğunu internet kullanıcılarına ait sistemler oluşturmaktadır. Bir internet kullanıcısının sisteminde kurulu olan Windows işletim sisteminde güncel yamalar kurulu değil ise bu sistemin uzaktan kontrolü kaçınılmaz olur. Uzaktan kontrolu sağlayıp, belirli bir IRC ağına bağlanıp bir kanalda toplanmasını sağlayan çeşitli tehlikeli uygulamalar vardır. Bu tür tehlikeli programcıkların çoğu güncel sistem açıklarını bünyesinde bulundurur ve tarama modu ile IP(Internet Protocol) adreslerine göre tarama gerçekleştirirler.

Amaç :

BotNet sahibi bir saldırgan aynı anda 4-5 bilgisayarı kontrol edebileceği gibi binlerce bilgisayarıda kontrol edebilir.

Tehlikeli botların kullanım amaçları:

DDoS şeklinde saldırılar gerçekleştirme ,SPAM ve kullanıcıların bilgisayarlarını etkileyecek zararlı programları dağıtmak ,Network trafiğini kontrol etme(sniffer) …BotNet sahibi bir saldırgan aynı anda 4-5 bilgisayarı kontrol edebileceği gibi binlerce bilgisayarıda kontrol edebilir.Tehlikeli botların kullanım amaçları:DDoS şeklinde saldırılar gerçekleştirme ,SPAM ve kullanıcıların bilgisayarlarını etkileyecek zararlı programları dağıtmak ,Network trafiğinikontrol etme(sniffer) …Bir çatı altına toplanmış sistemler(kullanıcının haberi olmadan sisteme sızan tehlikeli yazılım[bot] sistemi bir IRC sunucusuna bağlar) genellikle başka bir sisteme saldırı amacıyla kullanılır. Güvenlik açığı olan bir sistem(güncel yamalardan yoksun) internet ortamına girdiğinde başka bir makine tarafından algılandığında(bu işlemi Bot yazılımının otomatik IP tarama fonksiyonu gerçekleştirir) sistem kullanıcının haberi olmadan kontrol altına alınır.

Böylece bot ve güvenlik açıkları olan sistemler arasında bir diyalog başlar. Hepsinin koordinasyonunu sağlayan, Bot yazılımını düzenleyip IRC ortamında toplanmasını ayarlayan kişidir. BOTNET üzerinde araştırma yaparken dikkatimi çeken bazı noktalar oldu. Özellikle bazı sunucuların botlar için ayarlandığını gördüm. Yani; Bot, güvenlik açığı tespit ettiği sisteme atak yaparak sistemin bir sunucudan dosya(bu bot yada başka zararlı dosya olabilir) çekip otomatik olarak çalışmasını sağlar. Bu sunucu, bu işin gerçekleşmesi için daha önceden ayarlanmıştır.Bu açıkların çoğu işletim sistemlerinin zaaflarından yararlanılarak ortaya çıkarılmıştır. BotNet sahibi bir saldırgan aynı anda 4-5 bilgisayarı kontrol edebileceği gibi binlerce bilgisayarıda kontrol edebilir.Tehlikeli botların kullanım amaçları:DDoS şeklinde saldırılar gerçekleştirme ,SPAM ve kullanıcıların bilgisayarlarını etkileyecek zararlı programları dağıtmak ,Network trafiğinikontrol etme(sniffer) …Bir çatı altına toplanmış sistemler(kullanıcının haberi olmadan sisteme sızan tehlikeli yazılım[bot] sistemi bir IRC sunucusuna bağlar) genelliklebaşka bir sisteme saldırı amacıyla kullanılır.

Güvenlik açığı olan bir sistem(güncel yamalardan yoksun) internet ortamına girdiğinde başka bir makinetarafından algılandığında(bu işlemi Bot yazılımının otomatik IP tarama fonksiyonu gerçekleştirir) sistem kullanıcının haberi olmadan kontrol altına alınır.Böylece bot ve güvenlik açıkları olan sistemler arasında bir diyalog başlar. Hepsinin koordinasyonunu sağlayan, Bot yazılımını düzenleyip IRC ortamındatoplanmasını ayarlayan kişidir. BOTNET üzerinde araştırma yaparken dikkatimi çeken bazı noktalar oldu.Özellikle bazı sunucuların botlar için ayarlandığını gördüm. Yani; Bot, güvenlik açığı tespit ettiği sisteme atak yaparak sistemin bir sunucudandosya(bu bot yada başka zararlı dosya olabilir) çekip otomatik olarak çalışmasını sağlar. Bu sunucu, bu işin gerçekleşmesi için daha öncedenayarlanmıştır.Bu açıkların çoğu işletim sistemlerinin zaaflarından yararlanılarak ortaya çıkarılmıştır.TakipIRC ağına bağlanarak bir BOTNET bünyesine katılan bir sistemin işleyişinde yavaşlama meydana gelme olasılığı çoktur. Sistemin yavaşlamasında
en büyük rolü, otomatik ip tarama işlemi esnasında gerçekleşir.

BOTNET kurallarını kabul eden bir bilgisayar, yerel ağın(LAN) bir parçası ise sistemde bulunan bu tehlikeli bot yerel ağıda etkileyecektir.

(Tara –> Güvenlik açığı varsa ne türde bir açık var?
–> BOTNET).IRC ağına bağlanarak bir BOTNET bünyesine katılan bir sistemin işleyişinde yavaşlama meydana gelme olasılığı çoktur. Sistemin yavaşlamasındaen büyük rolü, otomatik ip tarama işlemi esnasında gerçekleşir. BOTNET kurallarını kabul eden bir bilgisayar, yerel ağın(LAN) bir parçası isesistemde bulunan bu tehlikeli bot yerel ağıda etkileyecektir.

Tara –> Güvenlik açığı varsa ne türde bir açık var?
–> BOTNET).Bu nedenle yerel ağdaki dosya paylaşımlarına dikkat etmek gerekir. Yerel ağda zayıf şifre politikası, botlar için mükemmel bir seçimdir.IRC ağına bağlanarak bir BOTNET bünyesine katılan bir sistemin işleyişinde yavaşlama meydana gelme olasılığı çoktur. Sistemin yavaşlamasındaen büyük rolü, otomatik ip tarama işlemi esnasında gerçekleşir. BOTNET kurallarını kabul eden bir bilgisayar, yerel ağın(LAN) bir parçası isesistemde bulunan bu tehlikeli bot yerel ağıda etkileyecektir

(Tara –> Güvenlik açığı varsa ne türde bir açık var?
–> BOTNET).Bu nedenle yerel ağdaki dosya paylaşımlarına dikkat etmek gerekir. Yerel ağda zayıf şifre politikası, botlar için mükemmel bir seçimdir.Saldırganlar sistemleri neden IRC üzerinden kontrol yolunu seçerler?IRC ağına bağlanarak bir BOTNET bünyesine katılan bir sistemin işleyişinde yavaşlama meydana gelme olasılığı çoktur. Sistemin yavaşlamasındaen büyük rolü, otomatik ip tarama işlemi esnasında gerçekleşir. BOTNET kurallarını kabul eden bir bilgisayar, yerel ağın(LAN) bir parçası isesistemde bulunan bu tehlikeli bot yerel ağıda etkileyecektir.

(Tara –> Güvenlik açığı varsa ne türde bir açık var?
–> BOTNET).Bu nedenle yerel ağdaki dosya paylaşımlarına dikkat etmek gerekir. Yerel ağda zayıf şifre politikası, botlar için mükemmel bir seçimdir.Saldırganlar sistemleri neden IRC üzerinden kontrol yolunu seçerler?• Rahat bağlantı

• Kolay yönetim

Saldırganın BOTNETine katılan makine uzaktan kolay kontrol edileceği için bu sistem üzerinde çalışan kullanıcı kolay takip edilebilir. Kullanıcı hangi dosya üzerinde çalışıyor, kullanıcıya ait şifrelerin alınması gibi işlemlerde gerçekleştirebilir. Ayrıca saldırgan, bilgisayarın teknik özelliklerini tek bir komutla öğrenebilir. Bir çok kullanıcı, bilgisayarlarının bir BotNetin parçası olduğunun farkına değil. Bilgisayar sahipleri çoğunlukla güncel yamalardan habersiz internete bağlanır ve sistemine entegre olan bir bot vasıtasıyla kontrolün başkasında olduğundan habersiz işlemlerini gerçekleştirmeye çalışır. Sisteme ilişkin yeni bir güvenlik açığı ortaya çıktıktan sonra bu istismarı kullanan bir botta internette kurban aramaya çıkar. Botların kullanım şekilleri birbirine çok benzer. Sistem, IRC ağına bağlanıp kanala girdiğinde(bu kanal genellikle şifrelidir) komutlarla yönetilir.
Bu botlarda komutlar birbirine çok yakındır.

Sonuç

BOTNET kontrolünü sağlan bir saldırgan aynı anda bilgisayarları kontrol ederek istediği internet adresine DDoS saldırısı gerçekleştirebilmektedir.BOTNET sahipleri kendi aralarında yada çeşitli kişilere para karşılığında makinelerin toplandığı kanalları kiralayabilir. Hatta kullandığı tehlikeli botprogramını bir ücret karşılığında satma yolunu tercih etmektedir.Dikkat edilmesi gereken husular:- Antivirüs kullanın. Kullandığınız antivirüs yazılımını güncellemeyi unutmayın.- E-Posta ile gelen dosyalara devamlı şüphe ile yaklaşın. Dosya uzantısı .pif, .scr, .bat , .exe , .zip , .rar ise dikkatli olun(tanıdığınızdan gelen bir dosya olsa dahi şüpheden vazgeçmeyin).- IRC ortamında sohbet ederken dikkatli olun. Bu sohbet ortamında size verilen internet adreslerine girmeyin(bu adresler genellikle otomatik olarak IRCde kişilere gönderilir).- Dosya paylaşım programı(p2p) kullanarak bilgisayarınıza çektiğiniz dosyalara dikkat edin.

Son olarak dikkat etmeniz gereken nokta;
Klasör seçeneklerindeki Görünüm bölümünde bulunan “Bilinen dosya türleri için uzantıları gizle” seçeneği aktif olmasın. Böylece dosya uzantılarını görürsünüz. Bu da sizin ne tür dosyalarla uğraştığınızı anlamınıza yardımcı olur. E-Posta ile gelen dosya .doc gibi görünür ama gerçekte “Belge.doc .exe” olabilir.

Kaynak :
http://www.olympos.org/article/articleview/1686/1/10/botnet_bot_network

Bu yazı 1 Nisan 2007 Pazar 13:36'da, Haberler kategorisinde yayınlandı. Bu yazınınn cevaplarını RSS 2.0 bildirimiyle takip edebilirsiniz. Cevap yazabilir ya da kendi sitenize alıntı yapabilirsiniz.