KOCAELĠ ÜNĠVERSĠTESĠ * FEN BĠLĠMLERĠ ENSTĠTÜSÜ
AĞ GÜVENLĠĞĠNDE SOLUCAN YAYILIMLARININ
ĠNCELENMESĠ VE YENĠ MODEL YAKLAġIMLARI
YÜKSEK LĠSANS
Bilgisayar Müh. Zeynep TURGUT
Anabilim Dalı: Bilgisayar Mühendisliği
DanıĢman: Yrd. Doç. Dr. H. Engin DEMĠRAY
KOCAELĠ ÜNĠVERSĠTESĠ * FEN BĠLĠMLERĠ ENSTĠTÜSÜ
AĞ GÜVENLĠĞĠNDE SOLUCAN YAYILIMLARININ
ĠNCELENMESĠ VE YENĠ MODEL YAKLAġIMLARI
YÜKSEK LĠSANS TEZĠ
Bilgisayar Müh. Zeynep TURGUT
Tezin Enstitüye Verildiği Tarih: 22 Mayıs 2009
Tezin Savunulduğu Tarih: 25 Haziran 2009
KOCAELĠ, 2009
i
ÖNSÖZ VE TEġEKKÜR
Ağ ve bilgi güvenliği bilgisayar dünyasının önde gelen sorunlarından biridir. Her yıl zararlı yazılımların neden olduğu sorunlar, hasarlar nedeniyle büyük miktarda finansal kayıplar yaĢanmaktadır. Eğer karĢılaĢılabilecek sorunlar ve bu sorunlara karĢı alınması gereken önlemler bilinirse; zararlı yazılımların bilgisayar ağlarında izleyecekleri yol tespit edilebilirse, bu kayıpların en az hasarla atlatılması mümkündür.
OluĢturulan bu çalıĢmada bilgisayar ağ güvenliğini tehdit eden unsurlar ve bu tehditleri kestirmenin yolları incelenmiĢtir. ÇalıĢmada ağ ve veri güvenliğini tehdit eden zararları yazılımlardan olan solucanların bilgisayar ağlarında nasıl yayılacağını önceden kestirebilmenin mümkün olup olmadığı ayrıntıları ile araĢtırılmıĢ, bu konuda yapılan çalıĢmalar incelenmiĢ ve kestirim için iki yeni model geliĢtirilerek önerilmiĢtir.
ÇalıĢmalarım boyunca gösterdiği sabır ve esirgemediği desteği için Sayın Hocam Yrd. Doç. Dr. H. Engin DEMĠRAY‟a teĢekkür ederim. Ayrıca tüm mühendislik eğitimim ve tez çalıĢmam boyunca teknik yönlendirmeleri, fikirleri, engin bilgisi ve desteğiyle yoluma ıĢık tutan Sayın Hocam Prof. Dr. Ali OKATAN‟a tüm içtenliğimle teĢekkür ederim.
ii ĠÇĠNDEKĠLER ÖNSÖZ VE TEġEKKÜR ... i ĠÇĠNDEKĠLER ... .ii ġEKĠLLER DĠZĠNĠ ... iv TABLOLAR DĠZĠNĠ ... vi SĠMGELER ... vii ÖZET... viii ĠNGĠLĠZCE ÖZET ... ix 1. GĠRĠġ ... 1
1.1. Ağ ve Bilgi Güvenliği ... 2
1.2. Saldırı ... 3 1.3. Saldırıların Sınıflandırılması ... 4 1.3.1. Bishop sınıflandırıması ... 5 1.3.2. Süreçsel sınıflandırma ... 5 1.3.3. Howard sınıflandırması ... 6 1.3.4. Hansman sınıflandırması ... 9 1.3.5. C.E.R.T sınıflandırması ... 11 2. SOLUCANLAR ... 16 2.1. Solucanların Tarihçesi ... 17
2.1.1. Morris solucanı (2 Kasım1988) ... 18
2.1.2. Code Red solucanı... 20
2.1.3. Nimda solucanı (18 Eylül 2001) ... 25
2.1.4. SQL Slammer – Sapphire solucanı (25 Ocak 2003) ... 28
2.1.5. Blaster solucanı (11 Ağustos 2003) ... 31
2.1.6. Welchia solucanı (18 Ağustos 2003) ... 32
3. SOLUCANLARIN YAYILIM TAġIYICILARI VE DAĞILIM MEKANĠZMALARI ... 34
3.1. Kendi Kendini TaĢıyan Solucanlar ... 34
3.2. Ġkincil Kanal Kullanan Solucanlar ... 34
3.3. Gömülü Solucanlar... 34
3.4. Solucanların AktifleĢmesi ... 35
3.5. Ġnsan AktifleĢtirmesi ... 35
3.6. Ġnsan Aktivitesi Temelli Solucan AktifleĢmesi... 35
3.7. ProgramlanmıĢ Süreç AktifleĢmesi ... 36
3.8. Kendi Kendine AktifleĢme ... 36
3.9. Yük Miktarları (Payloads) ... 36
iii
4.1. Epidemiyolojik Yayılım Modelleri ... 39
4.1.1. Klasik basit yayılım modeli (SI modeli) ... 39
4.1.2. Klasik genel yayılım (Kermack-Mckendrick) modeli (SIR modeli) ... 42
4.1.3. Ġki faktörlü yayılım modeli ... 44
4.2. Solucan Yayılım Kestiriminde Ağ Topolojilerinin Temsili... 47
4.3. Solucan Yayılım Kestiriminde Kullanıcı Tarafından Alınan Tedbirlerin Etkisi 48 4.4. Solucan Yayılım Parametreleri ... 49
4.5. TaĢıma Protokolü ... 50
4.6. Solucanların Hedef Tarama Stratejileri ... 51
4.6.1. Ġdealize solucan ... 51
4.6.2. Ani solucan ... 51
4.6.3. Mükemmel solucan ... 52
4.6.4. Düzgün tarama yapan solucan ... 53
4.6.5. Yönlendirici solucan ... 53
4.6.6. Böl ve iĢgal et yaklaĢımını kullanan solucan ... 54
4.6.7. Yerel tercihli tarama yapan solucan ... 54
5. SOLUCAN YAYILIM KESTĠRĠMĠNDE ÖNERĠLEN MODELLER ... 56
5.1. Model I ... 56 5.2. Model II ... 59 6. SONUÇLAR VE ÖNERĠLER ... 68 KAYNAKLAR ... 70 EKLER ... 73 ÖZGEÇMĠġ ... 89
iv
ġEKĠLLER DĠZĠNĠ
ġekil 1.1: Bilgisayar ağ yapısı ... 2
ġekil 1.2 Ağ güvenlik bileĢenleri ... 3
ġekil 1.3: C.E.R.T. saldırı istatistikleri ... 4
ġekil 1.4: Süreçsel sınıflandırma... 6
ġekil 1.5: Howard sınıflandırması... 8
ġekil 2.1: Solucan yayılımı ... 16
ġekil 2.2: Code Red yayılım baĢlangıcı ... 22
ġekil 2.3: C.A.I.D.A. Code Red solucanı yayılım ölçümü ... 22
ġekil 2.4: Ağa katılan yeni bilgisayarlara Code Red bulaĢması ... 22
ġekil 2.5: Code Red yayılım sonucu ... 23
ġekil 2.6: Nimda Solucanı‟nın saatte etkisi ... 26
ġekil 2.7: Nimda Solucanı‟nın dakikada etkisi ... 27
ġekil 2.8: Code Red ve Nimda saldırıları... 27
ġekil 2.9: Code Red ve Nimda saldırıları... 27
ġekil 2.10: Slammer Solucanı‟nın etkisi ... 29
ġekil 2.11: Sapphire Solucanı yayılım baĢlangıcı ... 30
ġekil 2.12: Sapphire Solucanı yayılım sonucu ... 30
ġekil 4.1: SI modeli ... 39
ġekil 4.2: SI modelinde Ģüpheli ve enfeksiyon bulaĢan bilgisayarlar arasında değiĢim ... 40
ġekil 4.3: Code Red yayılım kestirimi ... 41
ġekil 4.4: SIR modeli ... 42
ġekil 4.5: Klasik genel epidemik model ... 44
ġekil 4.6: Ġki faktörlü yayılım modeli ... 45
ġekil 4.7: Code Red solucanı kaynak tarama sayısı ... 46
ġekil 4.8: Ġki faktörlü yayılım modeli kıyaslaması ... 46
ġekil 4.9: Kullanıcı tarafından alınan tedbirlerin enfeksiyon yayılımına etkisi... 49
ġekil 4.10: TCP protokolü kullanımının enfeksiyon yayılımına etkisi ... 50
ġekil 4.11: UDP protokolü kullanımının enfeksiyon yayılımına etkisi ... 51
ġekil 4.12: Ani solucan ... 52
ġekil 4.13: Mükemmel solucan ... 52
ġekil 4.14: Yönlendirici solucan, hit list solucanı ve gerçek ölçüm kıyaslaması ... 54
ġekil 5.1: Model I birinci uygulama sonucu ... 58
ġekil 5.2: Model I ikinci uygulama sonucu ... 58
ġekil 5.3: Model I üçüncü uygulama sonucu ... 59
ġekil 5.4: Model II ağ enfeksiyon durumu oluĢturma algoritması... 62
ġekil 5.5: Model II yerel ağ içi yayılım algoritması ... 63
v
ġekil 5.7: Model II uygulama sonucu I ... 65
ġekil 5.8: Model II uygulama sonucu II... 66
ġekil 5.9: Model II uygulama sonucu III ... 66
vi
TABLOLAR DĠZĠNĠ
Tablo 1.1: Hansman sınıflandırması saldırılar ... 9
Tablo 1.2: Hansman sınıflandırması I. ve II. boyutlar ... 10
Tablo 1.3: Hansman sınıflandırması III. ve IV. boyutlar ... 10
Tablo 1.4: C.E.R.T. sınıflandırması ... 11
Tablo 2.1: Code Red saldırısından en çok etkilenen ülkeler ... 23
Tablo 2.2: Code Red saldırısından en çok etkilenen alan adları ... 24
Tablo 2.3: SQL Slammer saldırı örneği ... 28
Tablo 2.4: Sapphire saldırısından en çok etkilenen ülkeler ... 31
Tablo 2.5: Sapphire saldırısından en çok etkilenen alan adları ... 31
Tablo 5.1: Enfeksiyon matrisi ... 61
vii
SĠMGELER Kısaltmalar
C.A.I.D.A. : The Cooperative Association for Internet Data Analysis C.E.R.T. : Computer Emergency Response Team
DoS : Denial of Service
NIS : Network Information Service
NFS : Network File System FTP : File Transfer Protocol
SMTP : Simple Mail Transfer Protocol DDoS : Distributed Denial of Service IIS : Internet Information Services
DCOM : Distributed Component Object Model RPC : Remote Procedure Call
RPCSS : Remote Procedure Call Service ICMP : Internet Control Message Protocol TFTP : Trivial File Transfer Protocol UTC : Coordinated Universal Time TTL : Time to Live
viii
AĞ GÜVENLĠĞĠNDE SOLUCAN YAYILIMLARININ ĠNCELENMESĠ VE YENĠ MODEL YAKLAġIMLARI
Zeynep TURGUT
Anahtar Kelimeler: Ağ güvenliği, saldırılar, solucanlar, yayılım, kestirim.
Özet: Bugün biliĢim dünyasında bilgisayar ağ güvenliğini tehdit eden pek çok
saldırı türü bulunmaktadır. Bu çalıĢmada bilgisayar ağ ve bilgi güvenliğini tehdit eden saldırı türleri incelenmiĢ, bu saldırı türlerinden en hızlı yayılanlardan birisi olan solucanların özellikleri üzerinde ayrıntılı bir biçimde çalıĢılmıĢtır. Solucanların bilgisayar ağlarında yayılımını kestirmek için bugüne kadar kullanılan epidemiyolojik modeller incelenmiĢ ve bu modellerin farklılıkları araĢtırılmıĢtır. Bugüne kadar kullanılan bu modellerin, yayılım kestiriminde çok büyük baĢarı sağlayamadıkları görülmüĢtür. Bu nedenle epidemiyolojik modellere alternatif olabilecek iki yeni model geliĢtirilmiĢ ve var olan modeller ile karĢılaĢtırılmıĢtır. GeliĢtirilen modellere ait iki farklı yazılım oluĢturulmuĢ ve çalıĢmaya eklenmiĢtir.
ix
INVESTIGATION OF WORM PROPAGATION AND NEW MODEL APPROACHES IN COMPUTER SECURITY
Zeynep TURGUT
Keywords: Network security, attacks, worms, propagation, estimation.
Abstract: Today there are many types of attacks in computer systems. This
endangers computer and information systems. In this study, threat types; especially worms are analyzed. They propagate very fast. Epidemiologic models that have been used for estimating the propagation of worms are also analyzed, and differences of the models have been investigated. It has been seen that epidemiologic models are not so successful on estimating worm propagation. Two new models have been suggested and simulated in this study. These new models have been compared to other models. Two programs for simulation have been developed and added to the thesis.
1
1. GĠRĠġ
Bilgisayarlar Ģüphesiz ki günümüzde bireylerin yaĢamında çok büyük bir yer iĢgal etmektedir. Yalnızca bilgiyi iĢlemek için değil, veri aktarımında bulunmak, haberleĢmek, bilgi paylaĢmak için de yoğun bir biçimde kullanılmaktadırlar. Ancak yaĢamlarımız bilgisayarların, biliĢim teknolojilerin sağladığı kolaylıklarla iç içe geçmeye baĢladığından bu yana, çok önemli bir soruyla karĢı karĢıyayız: “Bilgisayar ağımızın ve bilgilerimizin güvenliğini nasıl sağlayacağız ?”. Bu soruya net bir yanıt verebilmek çok kolay olmasa da; olası sorunları; tehditleri bilmek, tehditlerin ağlarda nasıl yayılacağını kestirebilmek, bize ağ ve bilgi güvenliğini sağlamak adına büyük bir yetkinlik kazandıracaktır.
Bu amaçla bu çalıĢmada bilgisayar ağ güvenliğini tehdit eden saldırı türleri ve bunları sınıflandırma sistemleri yer almaktadır. Saldırı türlerinden solucanlar ayrıntılı bir biçimde incelenmiĢ ve solucanların yayılım kestirimi için Ģimdiye kadar kullanılmıĢ epidemiyolojik yayılım modelleri anlatılmıĢtır. Ayrıca bu modellere alternatif olabilecek iki yeni model önerilmiĢtir.
Tez GiriĢ bölümü birinci bölüm olmak üzere altı bölümden oluĢmaktadır. Birinci bölümde ağ ve bilgi güvenliği kavramından, ağ ve bilgi güvenliğini tehdit eden saldırı türlerinden ve bu saldırı türlerinin sınıflandırılması için kullanılan çeĢitli sınıflandırma yöntemlerinden bahsedilmiĢtir.
Ġkinci bölümde bilgisayar ağı saldırı türlerinden solucanlar tanıtılmıĢ, solucanların tarihçesine yer verilmiĢtir. Ayrıca bu bölümde günümüze dek bilgisayar dünyasında görülen ve en fazla hasara sebep olan solucanlar hakkında bilgiler yer almaktadır. Üçüncü bölüm solucanların yayılım taĢıyıcıları ve dağılım mekanizmaları hakkında bilgi içermektedir. Solucanların var oldukları bilgisayarlardan baĢka bilgisayarlara nasıl taĢındıkları; taĢındıkları bilgisayarlarda nasıl aktifleĢtikleri anlatılmıĢtır.
Tezin dördüncü bölümü solucan yayılım kestirimi hakkındadır. Bu bölümde solucan yayılım kestirimi için kullanılmıĢ olan epidemiyolojik yayılım modelleri hakkında
2
bilgi verilmiĢtir. Ayrıca dördüncü bölümde solucanların yayılım kestirimini tam olarak yapabilmek için göz önünde bulundurulması gereken değiĢkenlerden bahsedilmiĢtir.
BeĢini bölümde solucan yayılım kestirimi için önerilen modellere ve bu modellerin uygulama sonuçlarına yer verilmiĢtir.
Tezin son bölümü olan altıncı bölümünde ise yapılan çalıĢmaya ait sonuçlar ve öneriler bulunmaktadır.
1.1. Ağ ve Bilgi Güvenliği
Bilgisayar ağı (network), bilgi paylaĢımı amacıyla iki ya da daha fazla bilgisayarın bir araya getirilmesiyle oluĢturulan bir yapıdır.
Bilgisayar kullanımı geniĢ kitlelere açılıp, internetin yaygınlaĢması ve ticari anlamda önem kazanması ile birlikte bilgisayar ağlarının güvenliğini sağlamak; iletilen ve kullanılan bilginin güvenliğini sağlamak gerektiği için büyük önem kazanmıĢtır. Bilgi güvenliği bilgiyi ve bilgi istemlerini izinsiz eriĢim ve kullanımdan, bozulmalardan, değiĢimden veya tahribattan koruma anlamına gelir. OluĢturulan her bilgisayar ağı içerisinde çeĢitli sayılarda bilgisayarlardan ve bu bilgisayarların üzerinde çalıĢan farklı yazılımlardan meydana gelir. ġekil 1.1‟ de örnek bir bilgisayar ağının iç yapısı görülmektedir.
ġekil 1.1: Bilgisayar ağ yapısı [1]
ġekil 1.1‟de görüldüğü gibi her bilgisayar ağı kendi içerisinde bir sistem barındırır ve bu sistemler aracılığıyla bilgi iĢlenir, bilgi alıĢveriĢi yapılır. Ağ güvenliğinin, sistem güvenliği ve bilgi güvenliği bileĢenlerinden oluĢtuğu ġekil 1.2‟de görülmektedir.
3
Dolayısıyla bilgi güvenliğini sağlamak öncelikle sistem güvenliğini ve ağ güvenliğini sağlamak ile mümkün olacaktır.
Bir ağın güvenliğini sağlayabilmek için öncelikle ağın karĢı karĢıya olduğu tüm tehditler tanımlanmalı ve bu tehditlere karĢı durulabilecek en etkin korunma yolları kullanılmalıdır. ġüphesiz bir ağın karĢı karĢıya olduğu en büyük tehditlerden biri saldırılardır.
Bu çalıĢmada bilgisayar ağı ve bilgi güvenliğini tehdit edecek saldırıların neler olduğundan, çeĢitlerinden ve yayılımlarının kestirilebilmesinden bahsedilmiĢtir.
1.2. Saldırı
Sistemin güvenlik servislerini etkisiz hale getirmeyi amaçlayan, akıllı bir tehditten üretilen ani bir hücumdur. Bir saldırı sonucunda [2]:
Bilgilere yetkisiz eriĢim elde edilebilir.
BaĢka bir kullanıcının yetkileri alınarak onun yerine geçilebilir.
Saldırgan kendisini haberleĢme yapan kullanıcıların arasına yerleĢtirebilir. HaberleĢme hattı dinlenilebilir.
HaberleĢme engellenilebilir.
Ġletilen bilgilerin içeriği değiĢtirilebilir.
4
C.E.R.T. (Computer Emergency Response Team) kuruluĢuna 1995 ve 2008 yılının ilk dokuz ayı arasında bildirilen toplam tehdit türü, saldırı sayısı ġekil 1.3‟de gösterilmiĢtir.
ġekil 1.3: C.E.R.T. saldırı istatistikleri
ġekil 1.3‟den de anlaĢılacağı üzere 1995 yılından itibaren gerçekleĢtirilen saldırı sayısı genel olarak artıĢ göstermiĢtir. 1995 yılında 171 olarak bildirilen saldırı, tehdit türü sayısı 2007 yılında 7236‟ ya ulaĢmıĢtır.
1.3. Saldırıların Sınıflandırılması
Bilgisayar ve bilgisayar ağı saldırıları için mevcut tüm saldırıları içerecek tek bir sınıflandırma sistemi oluĢturmak oldukça güçtür. Bilgisayar dünyasında kullanılan çeĢitli sistemler olsa da tüm dünya tarafından kabul gören tek bir sınıflandırma sistemi olduğunu söylemek doğru olmayacaktır. 1978 yılından bu yana biliĢim sektörlerine yönelik tehditler kategorize edilmeye çalıĢılmıĢ, farklı sınıflandırma yöntemleri oluĢturulmuĢtur. Günümüzde halen çeĢitli sınıflandırma metotları geliĢtirilmektedir.
5
Bir saldırı sınıflandırma sisteminin geniĢ kitleler tarafından kabul görmesi ve kullanıĢlı olması, güvenlik endüstrisi çalıĢanlarınca kullanılması beklenir. Ayrıca bir sınıflandırma yönteminde kullanılan terimler iyi tanımlanmalı, tanımlamalar açık olmalı, kullanılan terminoloji güvenlik terminolojileri ile uyumluluk taĢımalıdır [5].
Sınıflandırma içerisinde yer alan her bir sınıf yeni tehditlerin ortaya çıkma olasılığına karĢı yeniden oluĢturulabilir olmalı, sınıflar açıkça tanımlanmalı ve var olan tüm türleri içerecek geniĢlikte; her türün en az bir sınıfa ait olacağı geniĢlikte olmalıdır. Bu çalıĢmada bilgisayar dünyasında kendisinden sonra yeni sınıflandırma yöntemlerinin doğuĢuna öncülük etmiĢ ve sıklıkla kullanılmıĢ, kullanılmakta olan beĢ adet sınıflandırma yöntemine: Bishop, Süreçsel, Howard, Hansman ve C.E.R.T. sınıflandırmalarına yer verilmiĢtir.
1.3.1. Bishop Sınıflandırması
Matt Bishop 1995 yılında Unix sistemlerinin etkilenmesine neden olabilecek açıkları içeren bir sınıflandırma Ģeması geliĢtirmiĢtir. Bu Ģemaya göre sistemdeki zayıflıklar altı eksene göre sınıflandırılır [5]:
Nitelik: ÇeĢitli kategoriler göz önünde bulundurularak hatanın niteliği tanımlanır. Ġstismar alanı: Ġstismardan ortaya çıkan kazanç belirtilir.
BaĢlangıç zamanı: Ġlgili açığın ne zaman ortaya çıktığı belirtilir. Etki alanı: Ġlgili açığın hangi alanı etkileyebileceğini belirtir.
Minimum sayı: Açıktan faydalanabilmek için gerekli olan minimum sayıda bileĢen sayısı belirtilir.
Kaynak: Açığın bulunduğu kaynak belirlenir.
Bishop Sınıflandırması‟nın ilerleyen yıllarda ortaya çıkan sınıflandırma türlerine oranla oldukça farklı olduğu açıktır. Ağaç yapısı veya yatay yapılar yerine eksenlerden oluĢan bir yapı tercih etmesinin yanı sıra sınıflandırma kıstasları da değiĢiktir [5].
1.3.2. Süreçsel sınıflandırma
Süreçsel Sınıflandırma‟nın temelleri veri üzerinde yapılan değiĢikliklere dayanır. ġekil 1.4‟de veri ve süreçsel sınıflandırma arasındaki iliĢki gösterilmiĢtir. Ġnternet‟te
6
gerçekleĢtirilen veri transferiyle ilgili güvenlik sorunları bu sınıflandırma türünde dört ana sınıfta değerlendirilir [2]:
Engelleme [2]: Sistemin bir kaynağı yok edilir veya kullanılamaz hale getirilir. Donanımın bir kısmının bozulması, iletiĢim hattının kesilmesi veya dosya yönetim sisteminin kapatılması engelleme saldırısına örnek olarak gösterilebilir.
Dinleme [2]: Ġzin verilmemiĢ bir taraf bir kaynağa eriĢim hakkı elde eder. Yetkisiz taraf; bir Ģahıs, bir program veya bir bilgisayar olabilir. Ağdaki verinin veya dosyaların kopyasını alabilir.
DeğiĢtirme [2]: Ġzin verilmemiĢ bir taraf bir kaynağa eriĢmenin yanı sıra üzerinde değiĢiklik de yapar. Bir veri dosyasının değiĢtirilmesi, farklı iĢlem yapmak üzere bir programın değiĢtirilmesi ve ağ üzerinde iletilen bir mesaj içeriğinin değiĢtirilmesi bu saldırı türüne örnek olarak gösterilebilir.
OluĢturma [2]: Ġzin verilmemiĢ bir taraf, sisteme yeni nesneler ekler. Ağ üzerine sahte mesaj yollanabilir veya bir dosyaya ilave kayıtlar eklenebilir.
ġekil 1.4: Süreçsel sınıflandırma [2]
1.3.3. Howard sınıflandırması
Bu sınıflandırma çeĢidi 1997 yılında John Howard tarafından geliĢtirilmiĢtir. Howard Sınıflandırması süreç temelli geniĢ bir yaklaĢımı içerir ve beĢ etkeni göz önünde bulundurur [5]:
7
Saldırganlar: Saldırıyı gerçekleĢtiren kiĢiler.
Araçlar: Saldırganların sistemlere eriĢmek için tüm kullandıklarını tanımlar. UlaĢım: Saldırganların sistemlere ulaĢımı bir uygulama, dizayn veya konfigürasyon açığı kullanılarak gerçekleĢtirilebilir.
Sonuçlar: Sistemlere ulaĢım bir kez sağlanırsa sonuçta bilgi ortaya çıkabilir veya bilgide bozulma meydana gelebilir.
Amaçlar: Tüm bu iĢlemler sonucunda saldırgan, sistemi ele geçirmekten, zarar vermeye çalıĢmaya kadar istediklerini gerçekleĢtirebilir.
ġekil 1.5‟de Howard Sınıflandırma örneği yer almaktadır. Howard
Sınıflandırması‟nın en büyük eksiği bazı bilgilerin birden fazla kategoride yer alabilmesidir. Örneğin bir terörist, kiĢinin bakıĢ açısına göre vandal kategorisinde de yer alabilir. Ayrıca Howard Sınıflandırması daha çok iĢlemler; saldırıyı ortaya çıkartan süreçler üzerine kurulu bir sınıflandırmadır. Oysa C.E.R.T., C.A.I.D.A. gibi kurumlar daha çok saldırının kendisi ile ilgilenir ve bu tarz bir sınıflandırma sistemi kullanmaktadırlar.
8 korsanlar
casuslar teröristler Ģirket bilgileri çalmak
isteyenler profesyonel suçlular
vandallar
ġekil 1.5: Howard sınıflandırması [5] kullanıcı komutu
betik veya program otonom etken toolkit dağıtık saldırı veri bağlantısı uygulama açığı dizayn açığı konfigürasyon açığı yetkisiz eriĢim yetkisiz kullanım iĢlem dosyalar aktarılan veri verinin bozulması verinin açığa çıkması
servis hırsızlığı servis reddi
duruma meydan okuma politik kazanç finansal kazanç
9
1.3.4. Hansman sınıflandırması
Bu sınıflandırma saldırı türlerini çeĢitli boyutlara göre inceleyerek çalıĢır. Her bir tehdit türü için dört temel boyutta sınıflama öngörülür [5].
Birinci boyut saldırıyı gerçekleĢtiren vektöre göre sınıflandırmaya yarar. Eğer tehdide ait bir saldırı vektörü yoksa ilgili saldırı en yakın kategoriye yerleĢtirilir.
Ġkinci boyutta ise saldırı hedefi incelenir. Hedef çok spesifik bir biçimde (Sendmail 8.12.10 vb.) veya daha genel (Unix tabanlı sistemler vb.) belirtilebilir.
Üçüncü boyut eğer varsa, saldırının kullandığı açıkları içerir.
Dördüncü boyut ise saldırı sisteminin içerdiği yük yapısı ile ilgilenir. Saldırılar çeĢitli türlere sahiptir ancak bunun yanından yerleĢtikleri sistemleri etkileyecek farklı yük yapıları içerirler. Dördüncü boyut tehditleri sahip oldukları yüklere, gerçekleĢtirecekleri zarara göre sınıflandırır [5]. Tablo 1.1, 1.2 ve 1.3‟de çeĢitli saldırılar için Hansman Sınıflandırması gerçekleĢtirilmiĢtir.
Tablo 1.1: Hansman sınıflandırması saldırılar [5] Saldırı
Blaster Çernobil Code Red John the Ripper
Infector Land Melissa Michelangelo
Nimda PKZIP 3 Truva Atı
Ramen Slammer
Sobig.F
Wuarchive FTPD Truva Atı Morris Solucanı
10
Tablo 1.2 Hansman sınıflandırması I. ve II. boyutlar [5]
I. Boyut II. Boyut
Ağ solucanı MS Windows NT 4.0,
2000, XP, Sunucusu 2003 Dosya enfeksiyon virüsü MS Windows 95 & 98
Ağ solucanı IIS 4, 5 & 6.0
ġifre tahmin saldırısı Unix ailesi, Windows NT, 2000 & XP Dosya enfeksiyon virüsü DOS ailesi
DoS saldırısı ÇalıĢma grupları için Windows, 3.11, … Windows 95 ve NT 4.0, E-posta solucanı MS Word 97 & 2000
Sistem açılıĢ virüsü DOS ailesi
E-posta solucanı MS IE 5.5 SP1 & öncesi, 5.01 SP2 hariç
Truva atı DOS ailesi
Ağ solucanı RedHat Linux 6.2 & 7.0
Ağ solucanı MS SQL 2000 Sunucusu
E-posta solucanı E-posta alıcı
Truva atı Unix ailesi
Ağ solucanı BSD 4 Sun 3 & VAX Sürümleri
Tablo 1.3 Hansman sınıflandırması III. ve IV. boyutlar [5]
III. Boyut IV. Boyut
CAN-2003-0352 TCP paket akıĢı DoS saldırısı Bilgi bozulması
CVE-2001-0500 Yığın tampon taĢması ve TCP paket akıĢı DoS saldırısı
Konfigürasyon Bilgi açığa çıkartma
Konak temelli DOS çökertmesi CVE-1999-016
Konfigürasyon Makro virüs & TCP paket akıĢı DoS saldırısı Bilgi bozulması
CVE-2001-0333 &
CVE-2001-0154 Dosya enfeksiyon virüsü, Truva atı ve DoS Bilgi bozulması
CVE-2000-0573, CVE-2000-0666 & CVE-2000-0917
Konak temelli DOS saldırısı, UDP ve TCP paket akıĢı DoS saldırısı & tahrip
CAN-2002-0649 Yığın tampon taĢması & DoS UDP paket akıĢ saldırısı
Konfigürasyon Truva atı
Tahrip
11
1.3.5. C.E.R.T. sınıflandırması
C.E.R.T. sınıflandırması; C.E.R.T. kurumu tarafından kullanılan, saldırıların amaç ve sonuçlarına göre oluĢturulmuĢ bir sınıflandırma türüdür. Bu sınıflandırma türü C.E.R.T. güvenlik alanında son derece önemli çalıĢmaları olan bir kurum olduğundan bilgisayar dünyasında sıklıkla karĢılaĢılabilen bir sınıflandırmadır. Tablo 1.4‟de C.E.R.T. Sınıflandırması gösterilmiĢtir.
Tablo 1.4: C.E.R.T. sınıflandırması [2]
AraĢtırma, tarama, dolandırma saldırısı Prank
E-posta aldatmacası
E-posta bombardımanı
E-posta gönderme (sendmail) saldırısı
Zorla sistemlere girme
Ġzinsiz kullanıcının kök eriĢim izni kazanması Ġzinsiz kullanıcının truva atı programı kurması Ġzinsiz kullanıcının paket dinleyici kurması
NIS saldırısı NFS saldırısı Telnet saldırısı Rlogin veya rsh saldırısı
ġifre kırılması Otonom FTP istismarı
IP aldatması Konfigürasyon hatası
Sunucu kaynaklarını suistimal etmek Solucan, Virüs
12
AraĢtırma, tarama, dolandırma saldırısı
Bir sistemdeki açık ve kullanılan bağlantı noktalarının taranması ve bu bağlantı noktalarından hizmetlere yönelik saldırı türüdür. [2]”
Prank
“Kullanıcı hesaplarının yanlıĢ oluĢturulması sonucu oluĢan açıklardan yapılan saldırı türüdür. [2]”
E-posta aldatmacası
“BaĢka bir kullanıcı adına e-posta gönderilmesidir. E-postada bulunan gönderen kısmı veya herhangi baĢka bir kısım değiĢtirilerek baĢkasından geliyormuĢ gibi gösterilir. E-posta sisteminin bir zayıflığı olarak alıcı tarafında görüntülenmek üzere, e-postanın kimden geldiği kısmında sahte bir gönderen yazılması sağlanabilir. Bu türde bir sahtecilik ancak e-postanın baĢlık (header) bilgisinin incelenmesi ile anlaĢılabilir. BaĢlık kısmında gönderenin posta sunucusu, gönderenin e-posta alan adından (domain) farklıysa sahtebir e-posta alındığı anlaĢılabilir. [2,7]”
E-posta bombardımanı
“E-posta bombardımanı bir e-posta adresine genelde farklı adreslerden çok sayıda e-posta gönderilmesidir. Bu metot kurbanın e-posta adresine normalden çok fazla ve sürekli olarak kurbanın istemediği e-posta mesajı yollanmasına dayanmaktadır. Yollanan bu mesajlar nedeniyle kurban e-postası aracılığıyla istediği kiĢi ile haberleĢmesi engellenmiĢ olur. Ġnternet üzerinde kullanılan teknoloji ve yazılımların geliĢmesi sayesinde artık birçok grup, topluluk veya kuruluĢ yeni ürün, haber veya oluĢumlarının otomatik olarak üyeleri veya müĢterilerini e-posta sayesinde haberdar eder. Saldırganının bu metotta kullandığı teknik ise kurbanını sürekli olarak bu uyarı mesajlarını ağlamasını sağlamaktır. [2,6]”
E-posta gönderme (sendmail) saldırısı
“SMTP bağlantı noktasına yönelik saldırılardır. Sendmail programı UNIX iĢletim sistemlerinde bulunan bir posta sunucusudur. [2,6]”
Zorla sistemlere girme
13
Ġzinsiz kullanıcının kök eriĢim izni kazanması
“Saldırganın normal kullanıcı olarak girdiği sistemde süper kullanıcı yetkisini kazanması. [2]”
Ġzinsiz kullanıcının Truva atı programı kurması
“Saldırganın girdiği sisteme genelde daha sonra tekrar girebilmesi ya uzaktan yönetim için ajan program yerleĢtirmesidir. Truva atları, virüslerden oldukça farklı bir yapıya sahiptirler. BaĢka programlara bulaĢmazlar. Belli uygulamalara bağlı olarak tetiklenirler. Kendilerini kopyalayamadıkları için bazı programların içine bilinçi olarak yerleĢtirilirler. Truva atları, genellikle ilgi çeken programların içine yerleĢtirilirler. Truva atı kodu, truva atının içine gizlendiği programın yazarı tarafından yazılmıĢ olabileceği gibi sonradan da programa eklenmiĢ olabilir. [2,6]”
Ġzinsiz kullanıcının paket dinleyici kurması
“Saldırgan tarafından hedef bilgisayara yönelik paket dinleyici yerleĢtirilerek yapılan saldırı türüdür. Bu Ģekilde bir yerel ağ korumasız bir konak üzerinden saldırılara açık hale gelebilir. Dinleme iĢlemi temel olarak ağ üzerinden gidip gelen bilgilerin dinlenmesine dayanmaktadır. Dinleme iĢlemini detaylandırmak gerekirse TCP/IP protokolünü kullanan bir Ethernet ağında bilgisayarlar birbiriyle haberleĢirken IP numarasını kullanırlar. Her bilgisayar konuĢacağı bilgisayarın IP numarasını öğrenir ve göndereceği paketlere o bilgisayarın IP numarasını yazarak yollar. Ancak ağ üzerinden gelen binlerce paket içerisinde sadece kendi IP numarası geçen paketleri dinler, diğerlerini filtreler. Böylece her bilgisayar kendisiyle ilgili olan bilgileri alıp göndermiĢ olur. Dinleme programları ise bu filtreleme iĢlemini yazılımsal olarak devre dıĢı bırakır ve ağdaki tüm paketleri dinler. Ağ dinleme ve sunucu dinleme olmak üzere paket dinleyici programlar iki türlüdür. [2,6]”
NIS saldırısı
“Ağ kullanıcı yönetim sistemine yönelik saldırı türüdür. [2]”
NFS saldırısı
“Ağ dosya yapısına yönelik saldırı türüdür. Genellikle ağ eriĢimini devre dıĢı bırakmada kullanılır. NFS (Network File System), ağ üzerindeki bilgisayarların dosyalarını birbirleriyle paylaĢmalarını sağlayan bir protokoldür. Ancak bu protokolün açıklarının kullanılmasıyla, sistemi büyük zararlar verilebilecek bir saldırıya açmıĢ olunur. NFS uzun zamandır üzerinde çalıĢılan bir protokoldür ve saldırı programları internette yaygın olarak bulunmaktadır. NFS' e yönelik saldırılar değiĢik sonuçlar doğurabilir. Saldırgan hedef bilgisayar üzerinde süper kullanıcı yetkisiyle iĢlemler yapabilecek duruma gelebilir. Alınabilecek önlemler; güvenlik duvarından NFS servislerine ait paketlerin geçiĢi engellenebilir. Aynı Ģekilde internet üzerinden bu servislere ulaĢım yasaklanabilir. Bu önlemeler NFS‟ e dıĢarıdan gelebilecek saldırılar içindir. Ġç ağdan gelebilecek saldırılara ise bilgisayarlar hala açıktır. [2,6]”
14
Telnet saldırısı
“Uzaktan eriĢim protokolünün açıklarından faydalanılarak yapılan saldırı türüdür. [2]”
Rlogin veya rsh saldırısı
“Uzaktan eriĢimde kullanılan servislerin açıklarına yönelik yapılan saldırı türüdür. [2]
ġifre kırılması
“Kolay tahmin edilebilir parolaların tahminini ya da Ģifreli hallerine göre sözlük saldırısı yapma türüdür. [2]”
Otonom FTP istismarı
“Anonim eriĢim izni verilen dosya aktarım sunucularına yönelik saldırılardır. [2]”
IP aldatması
“IP adres yanıltmasıyla yapılan saldırı türüdür. IP paketlerinin kaynak IP'sini değiĢtirmekle sağlanmaktadır. Böylece paketi alan istemcinin, paketin geldiği gerçek kaynak adresini bilmesi engellenir. Ġstemci gelen paketin saldırgandan değil de kullanıcıdan geldiğini sanır. [2,6]”
Konfigürasyon hatası
“Çok kullanılan programdaki kullanıcılardan kaynaklanan konfigürasyon hatalarından doğan açıklardır. Bu tür saldırı yönteminin kullanımı sistemin iyi Ģekillendirilmemesi veya yönetilmemesine dayanmaktadır. Saldırgan bu açıkları kullanarak sistem içindeki ayarlar ile oynar ve aslında normal olan fakat kullanılan sistemin Ģekline ya da konumuna bilgileri girerek sistemi çalıĢmaz veya ulaĢılamaz duruma getirir. Bu yönteme verilecek olan en iyi örnek yönlendirici bilgilerinin değiĢtirilmesidir. Bu iĢlem sonucunda hedef alınan ağ tamamen yok edilir. Windows NT iĢletim sistemine sahip bilgisayarlarda sistem kütüğü (registry) üzerinde yapılacak olan değiĢiklikler sayesinde birçok servis devre dıĢı bırakılabilir. [2,6]”
Sunucu kaynaklarını suistimal etmek
“Konak kaynaklarının yanlıĢ kullanımı sonucu ortaya çıkan açıklıklar. Bilgisayarlar ve ağlar hizmet verebilmek için bant geniĢliği, hafıza ve disk alanı, CPU zamanı, veri yapısı, diğer
15
bilgisayarlar ve ağlara giriĢ olanağı gibi temel iĢlevlere ihtiyaç duyarlar. Bu saldırı türününde sunucunun bu tür kaynakları fazlasıyla kullanılarak, sunucunun hizmet dıĢı bırakılması hedeflenir.[2,6]”
Virüs
“Konaklarda kullanıcılardan habersiz çalıĢan zararlı programlardır. Virüsler, kendi kodlarını baĢka programlara veya program niteliği olan dosyalara bulaĢtırabilme özelliğine (kendi kodunu kopyalayabilme) sahiptirler. BulaĢtıkları bilgisayarda genelde hızlı bir Ģekilde yayılırlar. Belli bir amaca yönelik olarak yazılmıĢ, zarar vermeye yönelik olabilecekleri gibi eğlence amacıyla da yazılmıĢ olabilirler.
Virüsler çoğunlukla Assembly gibi düĢük seviyeli bir programlama dili ile yazılırlar. Bunun iki asil sebebi vardır:
1. Assembly‟nin çok güçlü bir dil olması,
2. Yazılan programların derlendikten sonraki dosya boylarının çok küçük olması.
Bu özelliklerin her ikisi de virüs yazarlarının Assembly dilini kullanması için yeterli ve gerekli sebeplerdir. Virüsleri özelliklerine göre sınıflandırmak pek mümkün olmasa da virüsleri dosya virüsleri ve disk virüsleri olmak üzere ikiye ayırmak pek yanlıĢ olmayacaktır. [2,6]”
o Dosya virüsleri
“Dosya virüsleri adından da açıkça anlaĢılabileceği gibi hedefi dosyalar olan virüslerdir. Dosya virüsleri çoğunlukla com, exe, sys olmak üzere ovl, ovr, doc, xls, dxf gibi değiĢik uzantıda dosyalara bulaĢabilirler. [2,6]”
o Disk Virüsleri
“Disk virüsleri, adından da anlaĢılacağı üzere, disk ve/veya disketler üzerinde iĢletim sistemi için özel anlamı olan bölgelere (açılıĢ sektörü, MBR) yerleĢen virüslerdir. Disk virüsleri, hakkında en çok yanlıĢ bilginin olduğu virüs türüdür. AçılıĢ sektör ve MBR (Ana AçılıĢ Kaydı) virüsleri, iĢletim sisteminden önce hafızaya yüklenir. Bu yüzden iĢletim sistemine kolaylıkla atlayabilirler. [2,6]”
16
2. SOLUCANLAR
Bu bölümde bilgisayar ağ saldırı türlerinden olan solucanlar tanıtılmıĢ ve solucanların tarihçeleri, en fazla hasara sebep olmuĢ solucanlar hakkında bilgi verilmiĢtir.
Virüsler ve solucanlar bir ağ boyunca yayılabilen, istenmeyen kodlardır. Solucanlar kendi kendilerine çalıĢabilen, kendi kendilerini kopyalayabilen ve bağlı oldukları ağlarda savunmasız olan bilgisayarları bularak bu bilgisayarlara kopyalarını gönderebilen programlardır. Solucanların bulaĢtığı her bir bilgisayar solucanları yaymaya devam eder.
ġekil 2.1: Solucan yayılımı [8]
Solucan ve virüs terimleri aynı ifadeye karĢılık gelmezler. Ancak virüsler ve solucanlar arasında kesin olarak belirlenmiĢ, kararlaĢtırılmıĢ bir fark da yoktur. Fakat solucanlar virüslerden farklı olarak bir programa iliĢtirilmeden, insanların bu programlara müdahalesinden bağımsız olarak çalıĢabilirler. Yani virüslerle solucanlar arasındaki temel fark ilgili yazılımın kendisini herhangi bir program ve müdahaleden bağımsız olarak çalıĢtırıp çalıĢtıramamasıdır diyebiliriz. Bunun sonucu olarak solucanlar virüslerden çok daha hızlı yayılırlar ve çok daha fazla yayılıp çok daha büyük bir tehlike arz edebilirler. ġekil 2.1‟de solucan yayılımının bilgisayar ağında nasıl karmaĢık bir yapı oluĢturduğu görülmektedir. Virüsler yerel bir makineye zarar verirken solucanlar çok daha hızlı bir Ģekilde bağlı oldukları tüm ağa yayılabilir, bant geniĢliğini harcayabilir, ağın hizmet dıĢı kalmasına sebebiyet verebilirler. Yazılan bir solucan programı genellikle;
17
ĠĢletim sistemindeki, Sistem özelliğindeki,
Bilgisayar kullanıcısının sık kullandığı uygulamalardaki zayıflıkları kullanarak bilgisayara yerleĢir.
Solucanlar genellikle yük denilen taĢıdıkları yerleĢtikleri bilgisayar sistemlerine zararlı kod parçacıklarını çalıĢtırarak veya bilgisayar ağlarında yoğun trafik oluĢturarak sorunlara yol açarlar. Bugüne kadar solucanların ortaya çıkardığı en büyük sorun bilgisayar ağlarında oluĢturdukları yoğun trafik nedeniyle ağlarda aĢırı yüklenmelere sebep olması ve bunun sonucunda ağların hizmet dıĢı kalmasıdır. Bunun yanı sıra web sitelerini tahrif etmek ve DDoS atakları solucanların sebep olduğu sorunlar arasında sayılabilir.
Solucanlar istenilen amaç doğrultusunda yerleĢtikleri sunucuyu kullanabilirler. Bu nedenle büyük bir tehlike arz ederler. YaĢanması olası tehlikeler Ģu Ģekilde sıralanabilir:
Bilgisayar donanımında yer alan içeriği silebilir veya bilgiye zarar verebilirler, Bilgisayar donanımına zarar verebilirler,
Pek çok önemli hedefe eĢ zamanlı olarak ve yeniden hedef belirtilebilir bir Ģekilde programlanmıĢ saldırılar düzenleyebilirler,
Solucan bulaĢmıĢ bilgisayarlarda ticari veya askeri olarak çok büyük önem taĢıyan bilgiler arayabilirler,
Solucan bulaĢmıĢ bilgisayarlardan kiĢisel bilgileri çalabilirler, KiĢisel bilgisayarlara ulaĢımı bir ticaret haline getirebilirler.
2.1. Solucanların Tarihçesi
Solucan (worm) terimi ilk olarak 1982 yılında Xerox Parc‟ da (Palo Alto Research Center) kullanılır. Sistem bakımı için yararlı bir takım programlar yazan araĢtırmacılar (Shoch, Hupp) John Brunnel‟in bilim kurgu romanı “Shockwave Rider” da geçen “tapeworm” teriminden esinlenerek geliĢtirdikleri programa worm (solucan) adını verirler. Bu programın ana düĢüncesi bazı görevleri yerine getirmek için oluĢturulmuĢ kendi kendine yayılan bir program yazmaktır. Solucanların kendi kendilerini kopyalayabilmeleri fikri ise henüz ortada yoktur. Ancak internet ilk
18
olarak 1988 yılında zarar veren gerçek bir solucanla karĢılaĢır. Internet solucanı – Morris solucanı olarak bilinen bu solucan Robert Tappan Morris tarafından kendi açıklamalarına göre internetin ne kadar büyük olduğunu öğrenmek amacıyla yazılmıĢtı. Buna karĢın Morris solucanı o dönemde internetteki bilgisayarların %10‟ una bulaĢtı ve internetin büyük bir kısmının kapanmasına yol açtı. O tarihten sonra pek çok solucan yazılsa da solucanlar üzerine modern araĢtırmaların baĢlaması 2001 yılında ortaya çıkan Code Red solucanına dayanır.
1980‟li yıllarda solucanlar deneysel amaçlarla yazılıyorlardı. Ġnternet daha sınırlı bir alanda var olduğu için solucanlar internet eriĢimi olmayan bilgisayarlara yalnızca disketler aracılığı ile günümüze oranla çok daha yavaĢça yayılabiliyorlardı. Ġnternetin yayılması, bilgisayar teknolojilerinin geliĢmesi ile birlikte bir ağa bağlı savunmasız bir bilgisayara solucan bulaĢtırmak artık daha kolay bir hale gelmiĢtir. BulaĢtığı her bilgisayarı yeni savunmasız bilgisayarlar bulmak ve daha fazla solucan yaymak için kullanan bir solucan çok daha büyük bir hızla yayılmaktadır.
Morris solucanından bu yana onlarca yeni solucan yazılmıĢ ve internet ortamında yayılmıĢtır. Bu çalıĢmada interneti en fazla etkileyen solucan örneklerinden ve özelliklerinden bahsedilmiĢtir.
2.1.1. Morris solucanı (2 Kasım 1988)
Morris solucanı, bilinen diğer bir adıyla Ġnternet solucanı Amerika BirleĢik Devletler saati ile akĢamın erken saatlerinde 2 Kasım 1988 tarihinde serbest bırakılmıĢtır. 1988 yılında interneti sadece yüksek teknolojiye sahip Ģirketler ve araĢtırmacılar kullanıyordu. Dolayısıyla bir solucanın potansiyel tehlikesi ve yayılım hızı günümüz internet geniĢliği göz önüne alındığında oldukça azdır. 1988 yılında internette bulunan toplam bilgisayar sayısının 60.000 civarında olduğu tahmin ediliyor. ÇeĢitli kaynaklarda bugün Morris Solucanı‟nın etkisinin 24 saat sürdüğü ve internetin %10‟unda ciddi hasarlara sebep olduğu belirtiliyor. Ġnternet solucanı görülen ilk vaka olduğu için kesin olarak bir veriye ulaĢmak mümkün olmamakla beraber, 1000 ile 6000 arasındaki bir sayıda bilgisayara Morris Solucanı‟nın bulaĢtığı yaygın bir kabul. Solucanın yol açtığı maddi zararın ise 10 milyon $ ile 10.000 milyon $ arasında olduğu varsayımı oldukça yaygındır.
19
Bilgisayar dünyasının bu tanıdığı ilk solucan Cornell Üniversitesinde lisans öğrencisi olan ve yazdığı solucana adı verilen Morris Tappan Jr. tarafından geliĢtirilip internete bırakılmıĢtır.
Morris solucanı topolojik özellikleri kullanan bir solucandı. YerleĢtiği sunucunun çeĢitli sistem konfigürasyon dosyalarını araĢtırarak, sunucunun bulunduğu ağda saldırabilecek baĢka bilgisayarlar arıyor, ilgili bilgisayarı bulduğunda saldırmak için Ģu açıkları kullanıyordu:
Fingerd hizmet servisi: BaĢlangıçta Unix iĢletim sistemleri Fingerd denilen bir hizmet servisine sahiplerdi. Bu hizmet servisi bir kullanıcının diğer kullanıcılar hakkında istediği takdirde bilgi edinebilmesini sağlıyordu (kullanıcının o anda sistemde olup olmadığı, oturum açıp açmadığı, telefon numarası, kullanıcıya nasıl eriĢilebileceği gibi bilgiler ). Ancak bu program için sabit bir tampon bellek alanı ayrılmıĢtı, alanı aĢacak kadar bilgi gönderildiğinde ise tampon alanının yanı sıra hafızanın da üzerine veri yazılabiliyordu ve bu da ilgili sitemin çalıĢması için büyük bir tehlike oluĢturuyordu.
Sendmail hizmet servisi: Sendmail hizmet servisi Unix sistemlerinde e-postaların alınması - gönderilmesi için kullanılıyordu. Fakat bu servis büyük, karmaĢık, pek çok açığa sahip bir hizmetti bu nedenle Unix sistemleri için ciddi bir risk teĢkil ediyordu. Sahip olduğu en ciddi açıklardan birisi servisin hata ayıklama (debug) komutu açık olduğunda, herhangi bir komutun yürütülmesine hatta iĢletim sisteminin kabuğuna ulaĢılmasına olanak vermesiydi. Üstelik hata ayıklama komutu Unix sistemlerinin pek çok kurulu olduğu sistemde standart olarak açık bir biçimde yer alıyordu.
Kullanıcı Ģifreleri: Morris Solucanı kullanıcıların Ģifre olarak seçebileceği olası Ģifrelerin yer aldığı 432 kelimelik bir dosyadan okuma yapabiliyordu. Daha sonra bu olası Ģifreleri ve bu olası Ģifrelerin karıĢımlarını sırayla kullanarak yeni bilgisayarlara eriĢmeyi deniyordu.
Güven iliĢkisi: Unix sistemlerinde aynı çalıĢma grubu içinde olan bilgisayarlardan birinde oturum açan bir kullanıcıya diğer çalıĢma gruplarına Ģifresiz eriĢim izni verilebiliyordu (Unix.rhosts ve /hosts.equiv dosyaları). Ġnternet solucanı aynı
20
zamanda bu güven iliĢkisini kullanarak bir bilgisayara yerleĢtikten sonra diğer bir bilgisayara rahatlıkla sıçrayabiliyordu.
Morris Solucanı bilgisayar dünyasına sistemlere saldıran kiĢilerin her zaman dıĢarıdan değil içeriden bir kiĢi de olabileceğini, bu nedenle kullanıcıların her birine eĢit düzeyde ve yüksek ayrıcalık tanınmaması gerektiğini gösterdi. Aynı zamanda kullanıcı adı, Ģifre gibi bilgilerin ne derece önemli olduğu görülmüĢ oldu. Sistemlerin olası bir tehlikeye karĢı yedeklerinin alınmasının gerekliliğinin ve savunma stratejilerinin ağ seviyesinde değil sunucu seviyesinde olması gerektiğinin farkına varıldı.
Ġnternet Solucanı‟nın yayılımı bilgisayar sistemlerinin zayıflıklarının farkına varılmasını sağlayan ilk olaydır. Solucanın yayılımı ile bilgisayar güvenliği uzmanlarının alıntı yapacağı referans bir olay olarak, Amerika BirleĢik Devletleri Carnegie Mellon Üniversitesinde C.E.R.T.‟ in kurulmasına zemin hazırlamıĢtır.
2.1.2. Code Red solucanı
Microsoft IIS sunucularının açıklarını kullanan Code Red solucanı ilk 13 Temmuz 2001 tarihinde internette yayıldı. Bu Code Red solucanının ilk versiyonuydu. Ancak solucanın saldıracağı adresleri seçmesini sağlayan rastgele sayı üreticisinde ortaya çıkan hata nedeniyle bu birinci versiyon çok fazla bilgisayarı etkilemedi. Code Red‟in ikinci versiyonu 19 Temmuz 2001 tarihinde internette yayılmaya baĢladı. Bu versiyon ilk versiyon ile benzer özelikler taĢıyordu ve rastgele sayı üreticisinde ortaya çıkan sorunun giderilmesiyle çok hızlı bir biçimde yayılmaya baĢladı [9]. 4 Ağustos 2001 tarihinde ise Code Red II solucanı fark edildi. Bu solucan Code Red I solucanlarının kullandığı aynı açığı kullanıyordu ancak tamamen farklı bir koda sahipti. Ancak solucanın kodunda “CodeRedII” yazısı bulunması nedeniyle solucan Code Red II Ģeklinde isimlendirildi [9].
2.1.2.1. Code Red versiyon I (13 Temmuz 2001)
Code Red solucanı modern yazılım tarihindeki büyük zarara yol açan ilk solucandır. Microsoft IIS sunucularında yer alan tampon bellek taĢması açığını kullanıyordu. Bir makineyi enfeksiyonlu hale getirmek için ilk olarak ayın tarihini sınar. Eğer ayın tarihi 1 ile 19 arasında bir gün ise rastgele sayı üreticisi çalıĢmaya baĢlar ve rastgele
21
adresler üretir. Solucan üretilen bu sayıları saldırı düzenleyeceği adresleri belirlemek üzere üretir. Ancak Code Red solucanının görülen bu ilk örneğinde rastgele sayı üretici fonksiyonunda bir hata vardı. Rastgele sayı üreticisi sabit bir sayıdan baĢlıyor ve bu nedenle her bir makinede ürettiği saldırılacak adres listeleri aynı oluyordu. Solucan saldıracak adres belirlemeyi her ayın yirmisinde durduruyor, baĢka bir atak fazına geçiyordu. Ayın geri kalan günlerinde, ayın 20 ile 28‟ i arasındaki günlerinde www.whitehouse.gov adresine DoS (Denial of Service – Hizmet Engelleme) saldırısı gerçekleĢtiriyordu. Saldırdığı web sitelerini “Hacked by Chinese” ibaresi ile çökertiyordu. Fakat bu söylemi destekleyecek veya çökertebilecek bir delil hiçbir zaman bulunamadı [9].
Solucanın bu versiyonu çok büyük bir zarara sebep olmadı. Bazı siteleri “Hacked by Chinese” imzası ile çökertti. Code Red infekte makinelerin ve yerel ağların kaynaklarını kendisini yaymak için kullanmasına rağmen, global alanda küçük bir etki yaratabildi [9].
Code Red versiyon I ile enfeksiyon bulaĢmıĢ bir bilgisayara basit bir biçimde iĢletim sistemi yüklendikten sonra bilgisayar solucandan arındırılabiliyordu. Ancak geri yüklemeden sonra önlem alınmadığı takdirde makineye yeniden solucan bulaĢması olasılık dahilindeydi [9].
2.1.2.2. Code Red versiyon II (19 Temmuz 2001)
Code Red versiyon II solucanı, 19 Temmuz 2001 tarihinde internette görüldü. Bu solucan da Code Red versiyon I solucanı gibi Microsoft IIS Web sunucularının açıklarını kullanıyordu. Fakat Code Red versiyon I‟den farklı olarak rastgele sayı üreticisindeki hata giderilmiĢti. Rastgele sayı üreticisi sabit bir sayıdan baĢlamıyordu. Böylece her bir bilgisayar farklı IP adreslerindeki bilgisayarlara saldırı düzenliyordu. Bu küçük gibi görünen değiĢikliğin etkisi çok büyük oldu. C.A.I.D.A.‟ nın verilerine göre 14 saat içinde 359.000‟den fazla bilgisayara enfeksiyon bulaĢtı. Dakikada 2000 sunucuya yayıldı. ġekil 2.2 ve ġekil 2.5‟de Code Red Solucanı‟nın saatler içindeki hızlı yayımlı haritada gösterilmiĢtir. Ayrıca ġekil 2.3 Code Red Solucanı‟nın yayılım grafiğini içermektedir. ġekil 2.4‟e bakılırsa ağa yeni dahil olan bir bilgisayara çok büyük bir hızla enfeksiyon bulaĢtığı görülecektir.
22
ġekil 2.2: Code Red yayılım baĢlangıcı [15]
ġekil 2.3: C.A.I.D.A. Code Red solucanı yayılım ölçümü [28]
23
ġekil 2.5: Code Red yayılım sonucu [14]
Code Red versiyon I solucanının tek zararı bazı web sitelerine zarar vermek ve “Hacked by Chinese” mesajını sitelere yerleĢtirmekti. Ancak Code Red versiyon II web arayüzlerindeki bazı cihazlara da; yönlendiricilere, anahtarlara, DSL modemlere ve yazıcılara da zarar verdi. Solucan bu tür cihazlara yerleĢemese de, aygıtların bozulmalarına veya solucan kendisinin bir kopyasını göndermek istediğinde aygıtların yeniden baĢlamasına (yeniden yükleme gereksinimi duymalarına) sebep oldular.
Sistemleri kurma, yeniden düzeltme maliyetinin 2.6 milyar dolara ulaĢtığı tahmin ediliyor. Tablo 2.1‟de C.A.I.D.A. istatistiklerine göre Code Red saldırısından en çok etkilenen ülkeler, Tablo 2.2‟de ise alan adları görülmektedir.
24
Tablo 2.2:Code Red saldırısından en çok etkilenen alan adları [14]
2.1.2.3. Code Red II solucanı (4 Ağustos 2001)
Code Red II solucanı Code Red I solucanının her iki versiyonunun da kullandığı IIS açığını kullanıyordu. Ancak Code Red I‟ den tamamen farklı bir koda sahipti. Bu yeni solucanın Code Red II olarak anılması zararlının kaynak kodundan “CodeRedII” Ģeklinde bir katar bulundurmasındandır.
Code Red II yalnızca Windows 2000‟ de çalıĢıyor, Windows NT‟nin ise bozulmasına sebep oluyordu. BaĢka bir bilgisayara enfeksiyon bulaĢtırmaya çalıĢmadan önce Code Red II ilgili bilgisayara önceden solucan bulaĢıp bulaĢmadığına bakıyordu. Eğer sisteme solucan bulaĢmamıĢ ise, yayılım mekanizması çalıĢmaya baĢlıyordu. Enfeksiyon bulaĢan makineye bir arka kapı kuruluyor ve bir gün için hareketsiz kalıyordu. Code Red II, Code Red I‟ den farklı olarak hafızaya yerleĢmiyordu. Bu nedenle sistemi yeniden yüklemek Code Red II‟ den kurtulmak için bir çözüm olmuyordu.
Code Red II bilgisayarda çalıĢmaya baĢladığında bilgisayarı yeniden baĢlatıyor ve yayılmaya baĢlıyordu. Eğer Code Red II tarafından enfeksiyon bulaĢtırılmıĢ bilgisayar Chinese (Taiwanese) veya Chinese (PRC) sistem diline sahipse diğer makinelere enfeksiyon bulaĢtırmak için 600 iĢlem kullanıyordu.
Code Red II yakınlarında bulunan bilgisayarı tercih eden bir seçim stratejisi kullanıyordu. Aynı sınıftaki A sınıfından 1/2 oranında seçim yaparken, aynı sınıftaki B sınıfından 3/8 oranında rastgele tüm internet üzerinden seçimi ise 1/8 oranında gerçekleĢtiriyordu.
25
Code Red II Code Red‟den çok daha fazla tehlikeliydi çünkü Code Red II enfeksiyon bulaĢmıĢ makinelere uzaktan, kök seviyesinde ulaĢıma izin veren bir mekanizma kuruyordu. Ancak Code Red‟den farklı olarak Code Red II web sayfalarını çökertmiyordu veya DDoS saldırıları gerçekleĢtirmiyordu. Makineler üzerine kurulan arka kapı istenilen kodun yürütülmesini sağlıyordu, böylece makineler gelecek ataklarda (DoS veya baĢka saldırılar) zombiler olarak kullanılabiliyorlardı.
Code Red II ile enfeksiyon bulaĢmıĢ bir bilgisayar yeniden enfeksiyon bulaĢmasının önlenmesi için mutlaka yamalanmalı, daha sonra Code Red II solucanı bilgisayardan temizlenmelidir.
2.1.3. Nimda solucanı (18 Eylül 2001)
Nimda Solucanı 18 Eylül 2001 tarihinde, 11 Eylül olaylarından sadece bir hafta sonra ortaya çıktı ve çok hızlı bir biçimde yayıldı. Ortaya çıkıĢ tarihi nedeniyle solucan ile El Kaide arasında bağlantı olduğuna dair spekülasyonlar üretildi ancak bu spekülasyonlar hiçbir zaman doğrulanamadan son buldu.
Nimda Solucanı Windows 95, 98, NT, 2000 ve Me iĢletim sistemlerinin kullanıldığı tüm çalıĢma ortamlarını etkiledi. Solucan ismini Ġngilizce yönetici „admin‟ kelimesinin tersten okunuĢundan almıĢtır. Nimda Solucanı‟nın yazarı halen bilinmiyor.
Nimda çok modlu yayılma yöntemleri kullandı, farklı yayılım Ģekillerine sahipti: Code Red I ve Code Red II solucanlarının daha önce oluĢturmuĢ oldukları ve açık bıraktıkları arka kapıları araĢtırıp buldu. Bulduğu arka kapıları kullanarak bilgisayardan web sunucularına yayıldı.
Code Red I ve Code Red II solucanlarının da kullanmıĢ oldukları tampon bellek taĢması özelliğini (Microsoft IIS açığı, CVE-2000-0884) kullanarak enfeksiyon bilgisayarlardan web sunucularına yayıldı.
Enfeksiyon bulaĢan bilgisayarlardan elde edilen posta adreslerine, kendisini e-postalara ekleyerek gönderiyordu. Nimda yayılmak için üzerinde bulunduğu bilgisayarın e-posta programına ihtiyaç duymayan, kendi e-posta programına sahip olan ilk solucandı.
26
Nimda ele geçirdiği web sayfalarının üzerine bir takım kodlar ekliyordu. Bu sayfaları izleyen istemcilere enfeksiyon bulaĢtırarak, web sunucularından bilgisayarlara yayıldı.
Kendisini açık ağ paylaĢımları yoluyla kopyalayarak, bilgisayarlardan bilgisayarlara yayıldı.
Nimda Solucanı üzerinde ateĢ duvarları iĢe yaramadı. Pek çok ateĢ duvarı e-posta sunucularının enfeksiyonları temizleyeceğini düĢünerek e-postalara dokunmaz, geçiĢlerine izin verirdi. Kullanılan filtreleme yöntemlerinin birçoğu ise bilinen solucan ve virüslerin iĢaretlerini kullanarak ekleri basit bir biçimde tarıyordu. Oysa bu yeni solucanda iĢaret temelli savunmalar iĢe yaramadı. Nimda daha önceden bilinmeyen iĢarete sahip bir solucandı, bu nedenle tarayıcılar Nimda‟yı tanımlayamadılar. Böylece bilgisayar dünyası yeni bir kavramla tanıĢtı: sıfır günlük atakları tanımak. Bir solucanın ortaya çıkıĢından dakikalar ya da saatler sonrasında solucanın iĢaretinin bilinmesi çok zor bir iĢti ve bilinmesi mümkün olamayabilirdi. Nimda tepe noktasına vardığında 160.000 bilgisayara bulaĢmıĢtı. Nimda Solucanı‟nın 645 milyon dolar ile 1.5 milyar dolar arasında hasara sebep olduğu tahmin ediliyor. ġekil 2.6 ve ġekil 2.7‟de Nimda Solucanı‟nın ne denli etkili olduğunu görmek mümkün. ġekil 2.6 Nimda Solucanı nedeniyle saatte yapılan bağlantıyı gösterirken, ġekil 2.7 saniyede yapılan bağlantıyı göstermektedir.
27
ġekil 2.7: Nimda Solucanı‟nın dakikada etkisi [15]
ġekil 2.8 ve 2.9‟da Code Red I , Code Red II ve Nimda Solucan‟larının aylar boyunca yaptıkları saldırı sayıları görülmektedir.
ġekil 2.8: Code Red ve Nimda saldırıları[15]
28
2.1.4. SQL Slammer – Sapphire solucanı (25 Ocak 2003)
Sapphire Solucanı yalnız Microsoft Server 2000 sunucularının çalıĢtığı bilgisayarları etkiledi. MS SQL Desktop Engine ve Microsoft's SQL sunucusundaki tampon bellek taĢması özelliğini kullandı. Microsoft SQL Server 2000 hızlı bir biçimde bir veritabanı bulunabilmesine olanak sağlamak için, kullanıcıya UDP isteği gönderilmesine izin veren bir dizin servisini destekliyordu. Slammer Solucanı da bu özellik kullanılarak, 1434 bağlantı noktasından bilgisayarlara gönderilecek Ģekilde dizayn edilmiĢti. Solucan kendisini 376 bayttan oluĢan küçük bir UDP paketi halinde (baĢlıklarla beraber 404 bayt) yolluyordu. Bu paket saldırıyı, solucanın assembly kodunu içeriyordu. Solucan savunmasız bir IP/bağlantı noktası kombinasyonu bulduğunda bir tampon bellek taĢması gerçekleĢtiriyor ve uzaktan herhangi bir iĢleme gerek duymaksızın kendisini yürütmeye baĢlıyordu. Sapphire Solucanı‟nın çalıĢma örneği Tablo 2.3‟de bulunmaktadır.
Tablo 2.3: SQL Slammer saldırı örneği [17]
Slammer global internet trafiği için fark edilebilir bir negatif etki yaptı. Bazı düğümlerde servis yadsıma (denial of service) hatalarına sebep oldu ve genel internet trafiğini oldukça yavaĢlattı.
Sapphire Solucanı‟nın kullandığı açık aslında 24 Temmuz 2001 tarihinde ortaya çıkmıĢtı ve Microsoft firması solucanın ortaya çıkmasından altı ay önce bu açığı
29
tamamen kapatacak yeni bir yama geliĢtirmiĢti. Ancak buna rağmen kullanıcıların ilgili güncellemeyi yapmamıĢ olmalarından ötürü Sapphire çok hızlı bir biçimde pek çok bilgisayara bulaĢtı.
Slammer‟ın hızlı yayılımı nedeniyle internet büyük bir hızda yavaĢladı. Enfeksiyon bulaĢan bilgisayarlar yeni solucan bulaĢtıracak kaynak ararken yönlendiricilerin normalde kaldırabileceğinden çok fazla bir trafik oluĢmasına; aĢırı trafik ile karĢılaĢan yönlendiricilerin bozulmasına, kullanılamaz hale gelmesine sebep oldular. Ağdan ayrılan yönlendiriciler için yönlendirme tabloları güncellenmek istenirken, ağda çok daha büyük bir trafik oluĢtu. Bütün bu yüke yönlendiricilerdeki problemleri gidermek isteyen ağ yöneticilerinin, yönlendiricileri yeniden baĢlatmalarıyla daha da büyük hale getirdi. Yeniden baĢlatılan yönlendiriciler mevcut yönlendirici tablosu güncellemek için oluĢan trafiği çok daha fazla arttırdı. Bütün bu yük interneti aĢırı derecede yavaĢlattı hatta bazı yerlerde tamamen eriĢim dıĢı kalmasına sebep oldu. SQL Slammer Solucanı‟nın yayılımını kolaylaĢtıran en büyük özelliği küçük bir UDP paketinden oluĢmasıydı. Tüm solucan bir paket içerisine sığıyordu ve saldırı düzenlenecek kurbanla bağlantı kurulmasına gerek kalmıyordu. TCP protokolünü kullanan ev bir bağlantı gerektiren solucanlar ağda meydana gelen gecikmelerin sınırladığı bir hıza sahip olabilirler. Oysa Sapphire Solucanı‟nın toplam hızı UDP protokolünü kullanan diğer solucanlar gibi, yalnızca saldırı düzenlediği ağın bant geniĢliği ile sınırlıydı. ġekil 2.10‟da Slammer Solucanı‟nın bant geniĢliğini zorlayıncaya kadar büyük bir hızla yayıldığı görülebilir.
30
Sapphire Solucanı baĢlangıçta 8.5 saniyede bir ikiye katlanıyordu. Code Red Solucanı‟nın ikiye katlanma süresi ise 37 dakikaydı. Zararlı kendini saniyede 30.000 tekli pakete kadar kopyalayabiliyordu. Saniyede 55.000.000 tarama yaparak 3 dakikada tepe noktasına vardı. Sapphire yayılmaya baĢladıktan 10 dakika sonra internet ağı taĢıyabileceği maksimum kapasiteye ulaĢtı. ġekil 2.11 ve ġekil 2.12‟de Sapphire Solucanı‟nın yayılım baĢlangıcı ve sonucu haritalar üzerinde görülebilmektedir.
ġekil 2.11: Sapphire Solucanı yayılım baĢlangıcı [17]
ġekil 2.12: Sapphire Solucanı yayılım sonucu [17]
Slammer Solucanı aslında zararlı bir yüke sahip değildi. Ancak enfeksiyon bulaĢan makinelerin kaynaklarını ve ağların bant geniĢliğini tüketerek büyük zararlara yol açtı:
Kritik uygulama alt yapılarında pek çok element geçici olarak servis dıĢı kaldı, Amerika Bankası‟nın ATM ağı solucanın görüldüğü günün büyük bir kısmında servis dıĢı kaldı,
31
Continental Havayolları bilet iĢleme yazılımı geçici olarak servis dıĢı kaldı, Güney Kore‟de mobil telefon ağlarının 12 saatliğine çevrimdıĢı kalmasına sebep oldu.
Tablo 2.4 Sapphire saldırısından en çok etkilenen ülkeleri, Tablo 2.5 ise Sapphire saldırısından en çok etkilenen alan adlarını göstermektedir.
Tablo 2.4: Sapphire saldırısından en çok etkilenen ülkeler [17]
Tablo 2.5: Sapphire saldırısından en çok etkilenen alan adları [17]
2.1.5. Blaster solucanı (11 Ağustos 2003)
Blaster Solucanı aynı zamanda Lovesan veya Lovsan Solucanı olarak da bilinir. TCP 135 bağlantı noktasını kullanarak yayılan bir solucandır. Solucan saklı katarlarında iki mesaj saklıyordu. Birinci gizli mesaj: “I just want to say LOVE YOU SAN!! ( Sadece seni sevdiğimi söylemek istiyorum San) ”, ikinci gizli mesaj: “Billy gates why do you make this possible? Stop making money and fix your software!! (Bill Gates neden buna fırsat veriyorsun? Para kazanmayı bırak ve yazılımını düzelt)” . Solucan DCOM (Distributed Component Object Model – Dağıtık BileĢen Nesne Modeli) RPC (Uzak Prosedür Çağrısı ) servisindeki tampon bellek taĢması özelliğini
32
kullanıyor ve iĢletim sistemlerini etkiliyordu. Bu açık için bir ay öncesinden Microsoft firması tarafından bir yama oluĢturulmuĢtu.
Bu solucan Windows 2000 ve Windows XP(32 bit) iĢletim sistemlerini enfeksiyon bulaĢtırmak üzere tasarlansa da, Windows XP(64 bit), Windows NT, Windows Server 2003 iĢletim sistemlerinde de sorunlara sebep oldu.
Blaster bir Windows 2003 sistemine yayılmaya çalıĢtığında iĢletim sistemindeki tampon bellek taĢmasını fark ediliyor RPCSS (Remote Procedure Call Services – Uzak Prosedür Çağrısı Servisleri) iĢlemi sonlandırılıyordu. Eğer solucan internete bir bağlantı fark ederse (savunmasız bağlantı veya geniĢ bant) sistem son derece kararsız bir hale geliyordu ve aĢağıdaki mesajı göstererek (genellikle 60 saniye sonra) sistem kendini yeniden baĢlatıyordu: “Windows must now restart because the Remote Procedure Call (RPC) Service terminated unexpectedly (Windows RPC servisi beklenmeyen bir hata ile karĢılaĢtığı için yeniden baĢlatılacak)” Bu hata ile karĢılaĢılan sistemlerde genellikle sistem tarihini geri alınıyor ve solucanın bilgisayardan temizlenmesi için zaman kazanılıyordu.
Yayılım algoritması rastgele baĢlıyor ve sıralı arama metoduna dayanıyordu. Bu yöntem baĢlangıç olarak rastgele bir hedefin seçilmesini daha sonra seçilen IP adresi referans alınarak IP adresinden yukarıya doğru sırayla hareket etmeyi içeriyordu [9]. Blaster‟ın yük kısmındaki kod windowsupdate.com sitesine DoS saldırısı yapmayı
amaçlıyordu. windowsupdate.com sitesi, windowsupdate.microsoft.com‟a
yönlendirildiği için ve solucan adrese atak yapmadan önce birkaç gün beklediği içim Microsoft zararı minimum düzeyde atlattı. Yalnızca bir süreliği windowsupdate.com sitesinin diğer siteye yönelimini kapattı.
Solucanın yayılım oranı tepe noktasına 13 Ağustos 2003 tarihinde ulaĢtı. Blaster 2 milyar ile 10 milyar dolar arasında değiĢen miktarlarda finansal zarara sebep oldu, yüz ile binler arasında bilgisayara enfeksiyon bulaĢtı.
2.1.6. Welchia solucanı (18 Ağustos 2003)
Welchia bilinen diğer bir adıyla Nachia Solucanı Blaster Solucanı‟nın yayılımından sonra ortaya çıktı. Solucanın amacı Windows iĢletim sistemini Blaster Solucanı‟ndan korumak amacıyla Microsoft‟un sitesine bağlanarak ilgili yamayı sisteme indirmek
33
ve sistemde Blaster Solucanı bulursa ortadan kaldırmaktı. Yani Welchia Solucanı bir nevi anti – solucandı [9].
Welchia yayılmak için ilk olarak rastgele bir adres seçiyor, daha sonra yayılacağı adresleri belirlemek için ise sıralı seçimle mevcut bulunduğu adrese yakın adresleri seçiyordu. Welchia bir adrese saldırmadan önce ICMP bağlantı noktasını sınamak koĢuluyla (yankılama isteği yollayarak) ilgili adrese bir bilgisayarın bağlı olup olmadığına bakıyordu. Saldırmaya denediği adreste gerçekten bir bilgisayar var ise kendisini sisteme kopyalıyor, RPC açığı için yama yapıyor ve eğer bulursa Blaster Solucanı‟nı temizliyordu. Welchia‟dan önce herhangi bir solucan bir web sitesine yalnızca kendisini güncellemek için bağlanıyordu. Welchia bu açıdan bir ilkti [9]. Ancak Welchia tüm iyi niyetine rağmen, trafik artıĢına sebep olarak ağlara zarar vererek iĢlerin daha çok karıĢmasına, ağların çökmesine neden oldu. Hatta bazı yerlerde Blaster‟dan daha fazla zarara sebep oldu [9].
34
3. SOLUCANLARIN YAYILIM TAġIYICILARI VE DAĞILIM MEKANĠZMALARI
Solucanlar bulundukları kaynaktan baĢka kaynaklara yayılmak için ve bulundukları kaynakta dağılmak için bir takım stratejiler kullanırlar. Bu bölümde solucanların kullandığı bu stratejilerden bahsedilmiĢtir [23].
3.1. Kendi Kendini TaĢıyan Solucanlar
Bu tür solucanlar enfeksiyon sürecinin bir parçası olarak kendilerini de aktif bir biçimde sunuculara taĢırlar [23].
3.2. Ġkincil Kanal Kullanan Solucanlar
Bazı solucanlar baĢka bir kaynağa sıçramalarını tamamlamak için mevcut haberleĢme kanallarının haricinde ikincil bir haberleĢme kaynağına ihtiyaç duyarlar. Örneğin Blaster solucanı yayılmak için RPC (remote procedure call) protokolü açıklarını kullanmasına rağmen, kurban makineye solucanın tamamını indirmek ve solucanın yayılım sürecinin tamamlanmasını sağlamak için solucanın alındığı kaynağa TFTP protokolünü kullanarak geri bağlanılmasını sağlar [23].
3.3. Gömülü Solucanlar
Gömülü bir solucan normal bir mesaja eklenir veya normal bir mesajla yer değiĢtirerek kendisinin bir haberleĢme kanalı boyunca iletilmesini sağlar. HaberleĢme kanalı dıĢarıdan izlendiğinde bir anormallik fark edilemez. Fakat bu durum solucanın hedef seçme stratejisi ile de yakından ilgilidir. Solucanın hedef seçme stratejisi verimli olduğunda gömülü bir solucan, solucanın yayılımı açısından büyük fayda sağlayacaktır. Ancak hedef seçme stratejisi verimli olmazsa solucan kendisini haberleĢme kanalında belli edebilir ve gömülü yayılımın sağladığı yararlardan sadece çok azını koruyabilir [23].
35
3.4. Solucanların AktifleĢmesi
Solucanların bir bilgisayara yerleĢtikten sonra iĢlevlerini yerine getirmeye baĢlamasına solucanın aktifleĢmesi denir. Her solucan aynı Ģekilde, aynı süre sonunda aktifleĢmez. Bazı solucanlar yerleĢtikleri sunucuda hemen aktifleĢmek üzerine programlanmıĢken, bazıları haftalarca veya günlerce beklemek üzerine programlanmıĢlardır. Bazıları insan müdahaleleri sonucu aktifleĢirken, bazıları belli bir süre sonunda aktifleĢebilir. Solucanın bir sunucuda aktifleĢme Ģekli, solucanın bir sunucuda hangi Ģiddetle yayılabileceği ile de orantılıdır [23].
3.5. Ġnsan AktifleĢtirmesi
Bu aktifleĢtirme çeĢidinde solucanın yerel kopyasının yürütülmesi için kullanıcının kandırılması gerekir. Bu en yavaĢ aktivasyon yaklaĢımıdır. Kullanıcılar bilinçli olarak bir solucanın sistemlerinde koĢmalarını istemeyecekleri için bu tür solucanlar çeĢitli sosyal mühendislik tekniklerini kullanırlar. Iloveyou solucanı saldırısında olduğu gibi kiĢilerin ilgisini çekebilirler (“sizi seven kiĢinin kim olduğunu öğrenmek için bu mesajı açın”). Benjamin solucanı örneğinde görüldüğü gibi kiĢilerin maddi çıkar sağlayabilecekleri durumlar sunabilirler (“bu dosyayı indir ve telif hakkı olan materyale bedavaya sahip ol”). Melissa e-posta solucanlarında yaĢandığı üzere gönderilen mesajın çok önemli olduğu hissini yaratabilirler (“ekte senin için önemli bir mesaj var”) [23].
3.6. Ġnsan Aktivitesi Temelli Solucan AktifleĢmesi
Pek çok solucan insanların bir solucanla iliĢkili olabileceğini düĢünemeyeceği aktiviteleri gerçekleĢtirmeleri sonucu aktifleĢebilir. Bir bilgisayarı yeniden baĢlatmak, bir bilgisayarda oturum açmak (böylece oturum açma betikleri yürütülebilir veya solucan bulaĢmıĢ bir dosya uzaktan açılabilir). Bu tür aktifleĢtirme mekanizmaları genellikle Microsoft Windows iĢletim sistemlerinde paylaĢıma açılan solucanlarda görülür. Solucan hedef makine ne zaman yeniden baĢlatılırsa koĢmaya baĢlar, bu solucanlar veriyi hedef diske direkt olarak bir tetiklemeye ihtiyaç duymadan yazarlar [23].
