Code Red Paniği

0
conan
Son zamanlarda özellikle Amerika`da, 1 Agustos`ta (yani yarın) Code Red`in azacağı ve herkesin bundan çok kötü etkileneceği gibi izlenimler yaratılıyor. Dolayısıyla bazı Amerika tabanlı haber kaynaklarımız (!) da bu panik dalgasından etkilenmişe benziyor. Gelelim code red isimli worm`un neler yaptığına. İnceleyelim ki panik gerçekten gerekli mi anlayalım.
Herşeyden önce ilk bahsedilmesi gereken şey code red`in nasıl bulaştığı. Virus ilk bulaşmasında IIS`in (*) Microsoft Indexing Service ile ilişkisinde bulunan bir buffer overflow hatasından yararlanıp kendisini de beraberinde bulaştığı sunucuya getiriyor. Sonrasında başka bilgisayarlara bulaşmak için sunucuda 100 tane process açıyor. Ve her process random olarak bir IP seçiyor ve bulaşma işlemini bu IP uzerinde deniyor.

Virüsün aslında bir tarih tabanlı işleyişi var. Virüs ayın 1-19`u arasında yukarıda saydığım bulaşma işlemini uyguluyor. Ve ayın 20-27`si arası virüslü bütün bilgisayarlar whitehouse.gov adresine saldırıyorlar. (Saldırı buyuk boyutta ping paketleri yollama şeklinde) Son Çin-Amerika gerilmelerinden sonra Çinliler tarafından yazılan virüs`ün başka bir yere saldırmasi düşünülemezdi zaten :) Neyse, 28`inden ayın sonuna kadar virus tatil yapiyor (Şubat ayı yüzünden hehe) Sonra ay başında herşey baştan başlıyor.

Şimdi gelelim paniğe: Bu virüsün yayılması yaklaşık 18 Temmuz gibi farkedildi. Ve o günden bu güne büyük çapta (Medya çapında) hiç bir uyarı olmazken neden bir anda cnn.com'un manşeti olacak kadar bir "patlama" oluyor? Medya devleri haberleri geç mi alıyorlar? Yoksa Çin`e karşı bir toplumsal "bilinç" mi uyandırmaya çalışılıyor?! :) Yeni bir medya öcüsü mü yaratılıyor acaba? Neyse bunlar Amerikan toplumunun sorunları :)

Panik "yapması" gereken bir grup varsa o da ne yazik ki sistem yoneticileri, web sunucularından sorumlu kişiler ve son aylarda bu kadar çok güvenlik açığı yüzünden "şöhreti" lekelenmeye(!) başlayan Micro$oft.

Son söz: Benim tavsiyem IIS sunucularını hala yamamamış olan varsa bu adresten acilen yamalarını uygulamaları. Ayrıca sunucu olarak Microsoft dışında bir işletim sistemi kullaniyorsanız da (Kutlarım!), virusun saldırdığı yerde IIS olup olmadığını kontrol etmemesinden dolayı web trafiğinizde özellikle ayın 1-19`u arası büyük bir artış olacağından da haberdar olmalısınız. Özellikle loglarınızda "NNNNNNNNNNNN" satırını arattırırsanız bulaşma denemelerinin sayısından haberdar olabilirsiniz.

Kazasız, belasız, virüssüz günler dilemiyorum (Yoksa aç kalırım) :)

*IIS:
Microsoft Windows NT 4.0 Internet Information Services 4.0
Microsoft Windows 2000 Internet Information Services 5.0
Microsoft Windows XP beta Internet Information Services 6.0 beta

Görüşler

0
sundance
Sen merak etme, dünyadaki bütün virüs tehditleri bitse de güvenlikçi adama her zaman iş bulunur ;)

Birara senle ciddi iş konuşalım, Türkiye'ye uğramayı! düşünüyor musun yakın zamanlarda ?
0
conan
email pls :)
0
FZ
Security isn''t a product, it is a process.

Dün Cryptonomicon romanının Ek bölümündeki Solitaire şifreleme algoritmasını şöyle bir baktıktan sonra sonra Counterpane sitesini inceledim.

Ardından CrytoGram Newsletter dergisine abone oldum. Sonra aklımdan bazı düşünceler geçmeye başladı:

Güvenlik kavramı. Firewall''lar, virüs koruma yazılımları, şifreler vs. Pek çok ürün var ama şöyle düşünüyorum: Yazının başında belirtildiği gibi güvenlik dediğimiz olgu tek bir ürünle, aletle bağlantılı bir şey değil, daha çok bir süreç. Yani uygulanması gereken prosesler, uyulması gereken kurallar, protokoller. Günümüz bilgi işlem yapılarının hem donanım-yazılım ve hem de insanlar bakımından ne kadar heterojen olduğu düşünülürse sanırım bu SÜRECİN önemi daha da iyi ortaya çıkacaktır. sundance arkadaşım bu konuda ne düşünüyor bilmiyorum ama ben işin çok boyutlu, çok aşamalı ve kompleks yapıda bir süreç olduğunu düşünüyorum yani networke saldırı tespiti, virüs koruması, pasif network dinleme, verilerin gizlenmesi, şifrelenmesi, anahtar yönetimi, başkasının eline geçmesi istenmeye eski verilerin güvenli bir şekilde silinmesi(!), güvenli e-posta iletişimi gibi neredeyse hepsi ayrı birer uzmanlık alanı olan konular mevcut. Türkiye''deki kullanıcılar ve daha da önemlisi şirketler bunun ne kadar farkındadırlar bilemiyorum ama gerçekten de önemli bir konu. Lafı daha fazla uzatmıyorum ve kişisel yönelimim doğrultusunda güvenlik konusu ile şifreleme bağlamında ilgilendiğimi belirtip olası projelerde yer alma düşüncesinin beni heyecanlandırdığını bildiriyorum olası şahsiyetlere. Saygılar.
Görüş belirtmek için giriş yapın...

İlgili Yazılar

64 bitlik Şifre 4 Yıl Sonra Kırıldı

FZ

Milyonlarca işlemci saati ve dört yıllık insan emeğinin ardından RC5 64-bitlik şifresi kırıldı.

331.252 adet gönüllü makinanın kullanıldığı deneyde Distributed.net isimli isimli bir bilgisayarcı grubu RSA Security'nin meydan okumasını kabul etti ve 10.000$'lık çeki aldı.

"Her ne kadar bu projenin süresi 64 bitlik RC5 algoritmasının güvenilirliği ile ilgili olarak çok problem yaratmıyor gibi görünse de gene de birkaç yıldan daha uzun süre korunması gereken hassas bilgiler için RC5-64'ü tavsiye etmiyoruz," şeklinde konuştu şifreyi kıran grup.

Dünyaca Ünlü Hackerlar Türkiye'de Buluşuyor

FZ

Beyond Security, Profilo ve Servus işbirliği ile 5 Ekim 2007 tarihinde "TrSEC İstanbul Security and Hacking Conference"ı düzenliyor. Konferans Mecidiyeköy’deki Profilo Alışveriş Merkezi Konferans Salonu’nda düzenlenecek.

Kılıçla Yaşayan , Kılıçla Ölür... V2.0

Nightwalker

Bu sefer güvenlik ve hacking ile ilgili 2 ayrı siteden haber var.

1.si artık hackerların deneme tahtasına dönüşen defensive thinking.

Dünyaca ünlü hacker Kevin Mitnick’e ait web sitesi (www.defensivethinking.com) yine hacklendi… 23.02.2003 itibariyle zone-h üyeleri tarafından yapılan saldırıda (http://www.zone-h.org/defaced/2003/02/23/www.defensivethinking.com(1)/) Mitnick’in sitesinin bu kez politik amaçlı hack edildiği bildirildi…

Sahte Microsoft İmzası

anonim

Microsoft bir işletim sistemi üzerinde yine Microsoft bir web tarayıcısı kullanırken akla gelen ilk şey bu dijital imzalardan en güvenilir olanının yine Microsoft firmasına ait olacağını düşünmektir, çok normal bir şekilde de olması gereken budur.

Fakat ne yazık ki durumun böyle olmadığı Microsoft tarafından yapılan ilginç bir açıklamayla anlaşılmıştır. Yapılan açıklamada denildiğine göre 29 Ocak ve 30 Ocak 2001 tarihinde VeriSign dijital imza firmasından bir kullanıcı Microsoft’un bir elemanı olduğuna inandırarak Class3 bir kod imzasını Microsoft adına elde etmeyi başarmış. Bu da pek tabii ki normalde Microsoft’a ait olmayan bir takım kodların sanki Microsoft tarafından dağıtılıyormuş gibi Internet Explorer’da uyarının gelmesi demek. Bu sayede eğer istenirse ActiveX kontrolleriyle ya da MS Office makroları ile bilgisayarınıza girilmesi ya da zarar verilmesi mümkün olmakta. Bu duruma bir aktif içerikli bir web sayfasını ziyaret ederken düşebileceğiniz gibi, üzerinde eklenti bulunan bir mail ile de başınız derde girebilir. Üstelik yapanın imzasında Microsoft yazdığı halde.

Phrack #63

sakpolat

Merakla beklenen Phrack dergisinin 63. sayısı yayınlandı.
http://www.phrack.org