Code Red Paniği

0
conan
Son zamanlarda özellikle Amerika`da, 1 Agustos`ta (yani yarın) Code Red`in azacağı ve herkesin bundan çok kötü etkileneceği gibi izlenimler yaratılıyor. Dolayısıyla bazı Amerika tabanlı haber kaynaklarımız (!) da bu panik dalgasından etkilenmişe benziyor. Gelelim code red isimli worm`un neler yaptığına. İnceleyelim ki panik gerçekten gerekli mi anlayalım.
Herşeyden önce ilk bahsedilmesi gereken şey code red`in nasıl bulaştığı. Virus ilk bulaşmasında IIS`in (*) Microsoft Indexing Service ile ilişkisinde bulunan bir buffer overflow hatasından yararlanıp kendisini de beraberinde bulaştığı sunucuya getiriyor. Sonrasında başka bilgisayarlara bulaşmak için sunucuda 100 tane process açıyor. Ve her process random olarak bir IP seçiyor ve bulaşma işlemini bu IP uzerinde deniyor.

Virüsün aslında bir tarih tabanlı işleyişi var. Virüs ayın 1-19`u arasında yukarıda saydığım bulaşma işlemini uyguluyor. Ve ayın 20-27`si arası virüslü bütün bilgisayarlar whitehouse.gov adresine saldırıyorlar. (Saldırı buyuk boyutta ping paketleri yollama şeklinde) Son Çin-Amerika gerilmelerinden sonra Çinliler tarafından yazılan virüs`ün başka bir yere saldırmasi düşünülemezdi zaten :) Neyse, 28`inden ayın sonuna kadar virus tatil yapiyor (Şubat ayı yüzünden hehe) Sonra ay başında herşey baştan başlıyor.

Şimdi gelelim paniğe: Bu virüsün yayılması yaklaşık 18 Temmuz gibi farkedildi. Ve o günden bu güne büyük çapta (Medya çapında) hiç bir uyarı olmazken neden bir anda cnn.com'un manşeti olacak kadar bir "patlama" oluyor? Medya devleri haberleri geç mi alıyorlar? Yoksa Çin`e karşı bir toplumsal "bilinç" mi uyandırmaya çalışılıyor?! :) Yeni bir medya öcüsü mü yaratılıyor acaba? Neyse bunlar Amerikan toplumunun sorunları :)

Panik "yapması" gereken bir grup varsa o da ne yazik ki sistem yoneticileri, web sunucularından sorumlu kişiler ve son aylarda bu kadar çok güvenlik açığı yüzünden "şöhreti" lekelenmeye(!) başlayan Micro$oft.

Son söz: Benim tavsiyem IIS sunucularını hala yamamamış olan varsa bu adresten acilen yamalarını uygulamaları. Ayrıca sunucu olarak Microsoft dışında bir işletim sistemi kullaniyorsanız da (Kutlarım!), virusun saldırdığı yerde IIS olup olmadığını kontrol etmemesinden dolayı web trafiğinizde özellikle ayın 1-19`u arası büyük bir artış olacağından da haberdar olmalısınız. Özellikle loglarınızda "NNNNNNNNNNNN" satırını arattırırsanız bulaşma denemelerinin sayısından haberdar olabilirsiniz.

Kazasız, belasız, virüssüz günler dilemiyorum (Yoksa aç kalırım) :)

*IIS:
Microsoft Windows NT 4.0 Internet Information Services 4.0
Microsoft Windows 2000 Internet Information Services 5.0
Microsoft Windows XP beta Internet Information Services 6.0 beta

Görüşler

0
sundance
Sen merak etme, dünyadaki bütün virüs tehditleri bitse de güvenlikçi adama her zaman iş bulunur ;)

Birara senle ciddi iş konuşalım, Türkiye'ye uğramayı! düşünüyor musun yakın zamanlarda ?
0
conan
email pls :)
0
FZ
Security isn''t a product, it is a process.

Dün Cryptonomicon romanının Ek bölümündeki Solitaire şifreleme algoritmasını şöyle bir baktıktan sonra sonra Counterpane sitesini inceledim.

Ardından CrytoGram Newsletter dergisine abone oldum. Sonra aklımdan bazı düşünceler geçmeye başladı:

Güvenlik kavramı. Firewall''lar, virüs koruma yazılımları, şifreler vs. Pek çok ürün var ama şöyle düşünüyorum: Yazının başında belirtildiği gibi güvenlik dediğimiz olgu tek bir ürünle, aletle bağlantılı bir şey değil, daha çok bir süreç. Yani uygulanması gereken prosesler, uyulması gereken kurallar, protokoller. Günümüz bilgi işlem yapılarının hem donanım-yazılım ve hem de insanlar bakımından ne kadar heterojen olduğu düşünülürse sanırım bu SÜRECİN önemi daha da iyi ortaya çıkacaktır. sundance arkadaşım bu konuda ne düşünüyor bilmiyorum ama ben işin çok boyutlu, çok aşamalı ve kompleks yapıda bir süreç olduğunu düşünüyorum yani networke saldırı tespiti, virüs koruması, pasif network dinleme, verilerin gizlenmesi, şifrelenmesi, anahtar yönetimi, başkasının eline geçmesi istenmeye eski verilerin güvenli bir şekilde silinmesi(!), güvenli e-posta iletişimi gibi neredeyse hepsi ayrı birer uzmanlık alanı olan konular mevcut. Türkiye''deki kullanıcılar ve daha da önemlisi şirketler bunun ne kadar farkındadırlar bilemiyorum ama gerçekten de önemli bir konu. Lafı daha fazla uzatmıyorum ve kişisel yönelimim doğrultusunda güvenlik konusu ile şifreleme bağlamında ilgilendiğimi belirtip olası projelerde yer alma düşüncesinin beni heyecanlandırdığını bildiriyorum olası şahsiyetlere. Saygılar.
Görüş belirtmek için giriş yapın...

İlgili Yazılar

ADSL Modem Öntanımlı Parola Zayıflığı

extacy

Bu açık başka ülkelerde var mıdır bilmem ama bizim ülkemiz insanlarında %80 oranında geçerlidir :(

Bunun nedeni bilgisizlik midir, vurdum duymazlık mıdır bilmem ama... sonuçları çok kötü olabilir. Malum güzel ülkemin her yanı ADSL ile yeni yeni tanışmaya başladı fakat beraberinde yeni bir sorun getirdi. Lafı kisa tutup soruna geçmek istiyorum.

Paralı Askerler 3.Dünya Savaşını`mı Başlattı ?

sundance

8 Mart günü yaklaşık 40 kadar Amerikan e-ticaret sitesi Rusya ve Ukrayna`dan kaynaklandığı tahmin edilen saldırılara uğradı.
Reuters`in verdiği habere göre saldırıya uğrayan sitelerin hepsi de Microsoft Windows NT işletim sistemindeki bir zayıflık yüzünden zarar gördüler. FBI`ın bildirdiğine göre sözkonusu problem 1998 yılında tespit edilmiş ve gerektiği gibi patchlenmiş.
Security Focus`un haberi oldukça ilginç detaylar içeriyor. Yaklaşık 1 milyon kullanıcının kredi kartı bilgileri Mafya`nın elinde tahminen.

Tanımlanmamış Trojan Loader

SRLabs.net

Antivirüs yazılımları tarafından tanımlanamayan bir trojan loader mail yolu ile yayılmaya başladı. Türkiye kaynaklı olan malware kariyer.net'ten gelmiş gibi gözüken bir mail ile yayılmaktadır.

Microsoft Baseline Security Analyzer 1.0

FZ

Bilindiği üzere Microsoft pek çok büyük yazılımının güvenlikle ilgili durumunu elden geçiriyor ve bu işi bir süreliğine yeni yazılım çıkarmama kararı alacak kadar abartmış durumda.
Şirketin bu bağlamda ortaya koyduğu ürünlerden biri olarak ele alınabilecek bu güvenlik analiz yazılımı - Microsoft Baseline Security Analyzer 1.0 sisteminizi işletim sistemi, servisler, şifreler, web sunucu (IIS), veritabanı (SQL Server), tarayıcı (explorer) ve MS Office ile ilgili olarak test ediyor, olası güvenlik açıklarını ve bunlarla ilgili çözümleri listeliyor.

Büyük SSL Göçü Başlıyor mu?

tongucyumruk

Google CA/Browser Forum gereksinimlerini yerine getirmemesi sebebiyle Symantec PKI altyapısını güvenilen sertifikalar listesinden çıkarmaya karar verdi. Bu durum SSL dünyasında bolca kullanılan Thawte, VeriSign, Equifax, GeoTrust, ve RapidSSL gibi Symantec'e bağlı SSL sağlayıcıları tarafından üretilen sertifikaların geçerliliğini yitirmesi anlamına geliyor.

Google Güvenlik blogunda yapilan...