1) Malicious Code - Zararlı Kod Nedir?
2) Rootkit
3) Tracking Cookie leri
4) Keyloggerlar
5) Dropper
6) Adware
7) Spyware
8) Browser Hijacker
9) Dialer
10) Bulaşma Belirtileri
11) Bulaşma Metotları


Malicious Code - Zararlı Kod Nedir?


Zararlı Kod anti-virüs yazılımı tarafından tek başına engellenemeyen yeni bir çeşit tehdittir. Virüslerin tersine (ki zarara sebep olmak için bir kullanıcının bir programı işletmesini gerektirir ), zararlı kod otomatik çalışabilen bir uygulamadır. Zararlı kod;Java Apletleri, ActiveX kontrolleri, plug-in ler, sıkıştırılmış içerikler, script dilleri ve web sayfalarını ve emailleri görsel açıdan zenginleştirmek için tasarlanmış bir grup yeni yazılım dili formunda olabilmektedir.

1997 nin başlarında, Web filmleri için bir multimedia olarak tanıtılan ücretsiz bir plug-in i içeren ciddi bir tehdit açığa çıkmıştır. Ücretsiz plug-in sessiz bir şekilde bilgisayarın modemini internet erişim hattından, telefon faturalarında kullanıcılara binlerce dolara mal olan dakika başı ödemeli bir numaraya yönlendirmekteydi. Bu saldırının başladığı bir kaç ayın içerisinde, bir hacker organizasyonu kendi web sayfalarını görüntüleyen insanların lokal sürücülerinde bulunan Quicken (hızlandırma) yazılımlarını değiştirerek para transferi yapmak için bir ActiveX kontrolünü kullanmıştır. 1999 da, "Picture.Exe" adlı bir program bir çok America Online kullanıcısının kullanıcı adlarını ve şifrelerini bilinmeyen email adreslerine göndermişti. 1997 den beri, 250 den fazla geniş çaplı zararlı kod örneği kayıt edilmiştir.

Genellikle kurban, çok geç olmadan bir saldırıyı tanıyabilmesini görsel şekilde imkânsız kılan, bir zararlı kod saldırısı hakkında bilgi sahibi olmamaktadır. Virüslerin tersine, tam etki asıl zararlı kod programı tanımlandığı zamana kadar çoktan gerçekleşmiştir. Durumu daha kötü hale getirmek için, kodun doğası, onu belirli bir kullanıcıyı hedef almaya çalışan insanlar için ideal bir araç yapmaktadır. Kişi, kodu kullanıcıya bir email eklentisi olarak gönderebilir veya kullanıcı tarafından ziyaret edilen bir web sitesine yerleştirebilir. Bu nedenle, zararlı koda karşı herhangi bir korumanın proaktif olması ve yeni, bilinmeyen kod ile başa çıkabilme imkânına sahip olması gerekmektedir.


Zararlı Kod Tipleri


Erişim ihlalleri - En tehlikeli zararlı kod çeşididir. Yetkisiz dosyalara ulaşmaya (silmek, çalmak, değiştirmek veya işletmek için) çalışan bu kodlardır. Saldırılarda şifreler, dosyalar veya gizli veriler çalınabilmektedir. Bazı örnekleri, kullanıcı adlarını ve şifreleri, gizli proje bilgilerini, IPO planlarını, kredi kartı numaralarını, gizli telefon numaralarını, sosyal güvenlik numaralarını, adresleri ve daha fazlasını açığa çıkarabilen veya içerebilen şirket bilgileridir. Kod ayrıca disk üzerindeki dosyaları silebilmekte, şifreleyebilmekte veya değiştirebilmektedir. Erişim ihlali saldırıları davranış görüntüleme gerektirmekte ve etkin şekilde "kod tarama" metotları tarafından engellenememelidir.

Denial of Service (DoS) Saldırıları - DoS saldırıları kullanıcının sistemi kullanmasını engellemekte ve saldırı esnasında açılan dosyaların hasar görmesine sebep olabilmektedir. Saldırılar, sistem kilitlenene kadar sınırsız sayıda pencere açma gibi tekrar eden konuları uygulayarak gerçekleşmektedir. Saldırıların bu tipleri tüm gelen içeriğin incelenmesi ile engellenebilmektedir.


Zararlı Kod Nerede Saklanır?


Email - Email günümüzde internette kullanılan en yaygın uygulamadır. Yazılı mesaja ilave olarak, email tuzaklı kısa yollar ve zararlı kod appletleri kadar, tüm çeşitlerde eklentileri de içerebilmektedir. Email eklentileri, zararlıları, Truva Atlarını (Trojan) veya virüsleri taşıyabilmektedir. Herhangi bir kişi, saldırıya uğradığını bilmeden zararlı içerik içeren email yollayabilmekte veya alabilmektedir. Koruma olmaksızın, kod eklentisi sistem üzerindeki herhangi bir dosyaya ulaşım hakkına sahip olamaktadır.

Web içeriği - Web surf en popüler ikinci internet aktivitesidir ve en güvensiz olanıdır. Özellikle Java ve ActiveX gibi en yeni internet teknolojileri dinamik, içerik sürümlü web siteleri yapımında kullanılmaktadır. Maalesef, bu zorunlu yeni teknolojiler yüksek risk de içermektedir. Java appletleri ve ActiveX kontrolleri bir web sayfasını basit şekilde görüntülemek için indirilir ve çalıştırılır. Bu şekilde, kullanıcılar bilgisayarlarına bilinmeyen bir programın kopyalanması ve çalıştırılması için web sayfasına izin vermektedir. Browser lara herhangi bir Java veya ActiveX içeriğini indirmemesi yönünde talimat vermek mümkündür, fakat bu işlem, birçok web sitesi tam fonksiyonellik sağlamak için bu teknolojilere ihtiyaç duyduğu için artan şekilde daha az pratiktir.

Yasal Siteler - Kullanıcıların güvenli (trusted) olarak işaretlenmiş bir siteyi görüntülemeleri, içeriğin zararlı kod programlarını içerecek şekilde değiştirilemeyeceği anlamına gelmemektedir. Örnek olarak, 1996 Ağustos ayında, CIA web sayfası değiştirilmişti. Gerçekte, hackerlar sıklıkla meydan okumadan dolayı güvenliğin geleneksel kalelerini hedef almaktadır. Eğer birisi kelimeleri ve grafikleri değiştirebiliyorsa, verilere zarar vermek veya çalmak için bir zararlı kod programını da ekleyebilmektedir.

Dosya indirmek - Dosya transferi internet üzerinde yaygın bir uygulama olmakla birlikte ve herhangi bir dosya daha önce belirtilen risklerin bazılarını taşıyabilmesine rağmen, tecrübeli kullanıcılar tarafından gerçekleştirilen bir aktivite olduğu için daha az bir tehdit sergilemektedir. Bununla birlikte, gerçeklere dayanan bir uygulamanın açıklamasına güvenerek, bir kullanıcı, çalışma esnasında istenmeyen bir şeyler yapan bir programı dikkatsiz şekilde indirebilmektedir.

Sıkıştırılmış içerik - Sıkıştırma teknolojisi, kullanıcının masaüstüne içerik indirme yoluyla otomatik olarak kayıtlı kullanıcılarına bilgi sağlayan haber ve diğer içerik sağlayıcılarına imkân tanımaktadır. Bu teknoloji ayrıca kullanıcılarına güncellemeleri otomatik olarak sağlamak için güvenli bilince sahip olmayan yazılım şirketlerine de araç sağlamaktadır. Bu teknoloji, sabit şekilde sağlayıcının serverine bağlanan ve en yeni haberleri, borsa verilerini, spor skorlarını vs transfer eden "push client" olarak anılan küçük bir yazılımı kullanıcı PC ye kurduğu zaman aktif hale gelmektedir. Yazılım geliştiricileri (Microsoft gibi) dikkatsiz şekilde virüs içeren CD-Rom ları müşterilerine sağladığı gibi, zararlı kod programlarının ve virüslerin umulan sıkıştırılmış içerikle birlikte sağlanmış olması da muhtemeldir.

Bu yazı http://www.aladdin.com dan alınarak çevirisi yapılmıştır.


Çeviri: Kemal Inanc