[Pardus-kullanicilari] trojan ve Pardus

[Umut D.]

- Rootkit nedir?
Çalışan süreçleri, dosyaları veya sistem bilgilerini işletim sisteminden
gizlemek suretiyle varlığını gizlice sürdüren bir program veya programlar
grubudur. Amacı yayılmak değil bulunduğu sistemde varlığını gizlemektir.
Önceleri çok kullanıcılı sistemlerde sıradan kullanıcıların yönetim
programlarına ve sistem bilgilerine erişimini gizlemek için geliştirilmiş ve
kullanılmış olmasına rağmen kötü niyetli kullanımına da rastlamak mümkündür.

- Rootkit nasıl kurulur/bulaşır?
Tipine bağlı olmakla birlikte genelde erişim yetkiniz dahilinde sisteminize
kurabileceğiniz rootkit'ler bulmanız mümkündür. Bunun dışında güvenilir bir
kaynaktan geldiğine inandığınız bir programı haddinden fazla yetki ile
çalıştırmak (Ör: root veya root yetkili bir wheel grubu üyesi) zararlı bir
rootkit'in sisteme kurulmasına sebep olur. Aynı şekilde çok kullanıcılı bir
sistemde kernel vs açıkları kullanılarak sistemde root yetkisi kazanıp
rootkit kurulması en yaygın görülen bulaşma şeklidir. Belli php/kernel
açıkları için tüm bu süreci otomatikleştiren zararlı rootkitler mevcuttur ve
pek çok "sözde hosting" firması bunlardan nasibini almıştır (Meraklısı
google ile bunları araştırabilir).

- Rootkit nasıl temizlenir?
Rootkit çalışırken altında çalıştıracağınız her program rootkit'in
yetenekleri doğrultusunda onun verdiği bilgiler ile sistemden aldığı
bilgileri ayırd edemez. Dolayısıyla gerçekte hangi dosyaları değiştirdiği,
kernele hangi modülü yüklediği, dosya sisteminin neresinde kayıtlı olduğu,
hangi ağ servisi üzerinde "sniffer" şeklinde dinleme yaparak uygun komutla
harekete geçeceğini tespit etmek kolay değildir. Dolayısıyla rootkit
bulaşmış bir sistemin en güzel temizliği içinden hiçbir BINARY dosya
alınmadan sadece verilerin alınarak tamamen baştan kurulmasıdırı.

- Rootkit nasıl tespit edilir?
Belli zamanlarda en temel komutların ve muhtemel rootkit bulaşma
noktalarının "hash" değerlerinin saklanarak bunların daha sonra kontrol
edilmesi gibi metodlar olmasına rağmen yukarıda belirttiğim gibi rootkit
bulaşmış bir sistemin vereceği bilginin gerçekliği bulaşan rootkit'in
yeteneğine bağlıdır. Yine de sistemi bir CD ile açarak bu kontrolleri yapan
programlar olduğu gibi bu "hash" alma ve kontrol etme işlemi CD ile
açıldıktan sonra elle de yapılabilir.

- Rootkit'ten nasıl korunulur?
Linux ve türevleri için konuşursak kullanılan dağıtımın resmi paket dağıtım
sistemi dışına çıkmamak pek çok sorunu çözecektir. Bu paket dağıtım
sistemlerinin ele geçirilmesi veya zehirlenmesi ihtimali her zaman mevcut
olacaktır ancak bir arkadaşınızdan aldığınız veya X internet sitesinden
kurduğunuz bir betik/binary dosya ile kıyaslandığında veya ne olduğunu
bilmediğiniz bir tar.gz dosyasını (veya uygulanacak bir patch'i) "Nasıl olsa
kaynak koddan kuruyorum, virüs bulaşmaz" düşüncesiyle derleyip çalıştırmak
sorunlarınıza sorun ekleyebilir. Genel kaide olarak dağıtımın resmi paket
depoları ile kullanılacak programın resmi internet sitesinden alacağınız
kaynak kodlar sizi bir derece koruyacaktır. Eğer diğer insanların erişimine
açık bir sistem kullanıyorsanız güncellemeleri zamanında yapmak ve sık sık
kontrol etmek de unutulmaması gereken bir işlemdir.

- Rootkit'in zararı nedir?
Bilgisayarınız tamamen dışarıdan kontrol edilebilir hale gelecektir. Tipine
bağlı olarak ayrı bir "firewall" bile size koruyamayabilir. (İçeriden
dışarıya sanki bir web sitesi açar gibi karşı tarafa bağlanan rootkitler).
Aynı bilgisayarda yüklü bir firewall ise muhtemelen rootkitin yeteneği ile
ters orantılı olarak koruyabilir sizi.

Saygılar.

(Türkçe Wiki'de olmadığını görünce hazır bu kadar yazmışken oraya da
aynısını ekledim. http://tr.wikipedia.org/wiki/Rootkit)

On 7/25/07, Mehmet <yazanadam at ttnet.net.tr> wrote:
>
> Günaydın
>
> Byte dergisinden alıntıladığım yazıyı konuyla ilgisi dolayısıyla aşağıda
> aktarıyorum.
>
> Mehmet
>
>
> Gizlilik Kapasitesi Yüksek Rootkit'ler Ortaya Çıkıyor!
>
>
> Sanal alemin yaygınlaşmasıyla birlikte, sanal ortama uyum sağlayacak
> veya sanallaşmadan fayda sağlayacak yolların araştırılması giderek ön
> plana çıkıyor. IBM X-Force ar-ge ve istihbarat birimi, gizlilik
> kapasitesi yüksek rootkit'lerin ortaya çıkacağını öngörüyor.
> //19.07.2007 15:23:26
> Yapılan ilk sanallaşma yığınlarından faydalanma
> araştırmalarının/saldırılarının iki örneği Blue Pill ve SubVirt. İlk
> Blue Pill örneği; geçen yıl gerçekleştirilen SyScan Konferansı'nda
> Joanna Rutkowska tarafından sergilendi. Bu prototip, normal işletim
> sisteminden gizlenen hileli bir sanal makina ekranını (Virtual Machine
> Monitor) içeri atarak, esas itibariyle bir sanallaşma-tabanlı rootkit
> kavramının ilk versiyonunu oluşturuyordu. Ancak, bu durumda rootkit,
> sistemden gizlenen sanal saldırganın kontrolünde bir sanal makina
> yığınıydı.
> Aslında Subvirt rootkit, Blue Pill sunumunun birkaç ay önce, "SubVirt:
> Kötü Niyetli Yazılımların Sanal Makinalar İle Uygulanması" başlığı ile
> bir gazetede haber olmuştu. Bununla beraber, bu iki rootkit arasındaki
> temel farklılıklardan birisi, Blue Pill'in bilgisayarın sanallaşmasını
> kullanarak, işletim sisteminin doğrudan bilgisayarla iletişime devam
> etmesine izin veriyor oluşu. Bunun aksine SubVirt, sanal makinaların bir
> dereceye kadar daha kolay saptanabilen, Vmware veya Virtual PC gibi
> ticari sanallaşma teknolojisine dayanıyor. Ayrıca, Blue Pill on-the-fly
> yüklenebilirken, SubVirt'i bir sisteme yüklemek daha zor.
>
>
> Ali Rıza Babaoğlan
> _______________________________________________
> Pardus-kullanicilari e-posta listesi
> Listeden çıkmak için
> http://liste.uludag.org.tr/mailman/listinfo/pardus-kullanicilari adresini
> kullanın.
> Listeye iletmek istediğiniz soruları  Pardus-kullanicilari at pardus.org.tre-posta adresine gönderin.
> Liste mesajlarında arama yapmak için http://liste.pardus.org.tr/arama web
> sayfasına gidin.
-------------- sonraki bölüm --------------
Bir HTML eklentisi temizlendi...
URL: http://liste.pardus.org.tr/pardus-kullanicilari/attachments/20070725/7a39a932/attachment-0001.htm