By_LANCELOT
Banned
Ev Bilgisayarlarınızı Güvenlik Altına Almak ( DÖKÜMAN ) /1
Bu dökümanın sonuna geldiğinizde, internet üzerinde kişisel güvenliğinizin sağlanması ile ilgili başlıca konular hakkında bilginiz olacak.
Çok tecrübeli olmayan kullanıcılar için bilginin tamamı biraz fazla gelse de, sabırlı olundukça işin o kadar karmaşık olmadığnı göreceksiniz. Herşeyden önce gözünüz korkmasın, hiç bir şey bir günde öğrenilmiyor. Basit bilgilerle başlıyoruz. Sonra detaylara ineceğiz.
Başlayalım:
Firewall:
Çift taraflı, yani hem gelen hem giden trafiği kontrol eden, bu tip bir trafik tesbit edildiğinde izninizi soran iyi bir firewall kullanmakta fayda var.
Firewall’un ayırca, bilgi transferi yapmak için, belli portlara saldırı yapan kişilerden sizi iyice saklaması gerekiyor.
Firewall’larınızı yapılandırırken, en yüksek güvenlik seviyesini seçin, bilgisayarınızdaki her programın çalışması için firewall’dan bilgi alacak şekilde ayar alın. Bu programları sık sık kullansanız bile, çalıştırılmak üzere olan bir program hakkında şüphe duyduğunuzda, izin vermeyin.
Başka bir şey yapmasanız bile, en azından kişisel bir güvenlik duvarına ihtiyacınız var.
İyi bir antivirus koruma + Firewall ise Internet güvenliği icin en başta gelen meseledir. Windows XP kullanıcıları için, şunu akılda tutmakta fayda var.
XP nin Internet Connection Firewall ( ICS ) si sadece iç trafiği kontrol eder, Dışarı giden trafiği tesbit etmez. Bunun için çift taraflı bir firewall kullanmakta fayda var.
Firewall’lar sadece antiviruslerle birlikte kullanılmaz.
Bunun yanısıra, Icerik Filtreleri, Anti-Trojanlar, Proxy’ler, PortScanner’larla birlikte kullanılabilir. Bazı Firewallar bu tip programlarla birleştirilmiş ve Suite şeklini almıştır.
Bazıları ise tek olarak piyasaya sürülürler.
Anti-Virüs:
Antivirüs kullanmamız gerekiyor.
En azından haftada bir kez virüs data dosyalarımızı güncellememiz lazım. Bunun yanısıra, Tarama yaparkan \"Heuristic\" veya \"Bloodhound\" özelliğine aktif hale getirmekte fayda var. ( Bu özellikler, henüz tesbit edilmeşi veya tanımlanmamış virüs-gibi-hareket eden davranışları tesbit ediyor. )
Eğer antivirüs’ünüzün ActiveX Control ve Java Classları tarama opsiyonu varsa, bunu da kullanmak cok önemli. Daha sıkı bir güvenlik için ve tarama opsiyonları için, iyi bir virüs scanner ile trojan scanner’ini birlikte kullanmak çok öneriliyor.
Virus Scannerlar - Özet Bilgi
Antivirus veya Antiviris/AntiTrojan programlarını sisteminize kurmak, belki de yapacağınız en basit işlerden biri.
Programlar herhangi bir virüs tesbit ettiğinde, dosyayı, Karantinaya alır, böylece dosyayı silmeden veya başka bir programa bulaşmadan inceleme fırsatı bulabilirsiniz.
Antivirüs programlarının ayarları basittir ve virus data dosyalarını veya kurallarını güncellediğiniz muddetce ( sadece antivirus tanımlamaları değil, bunun yanısıra arama motoru patchlerini, programla ilgili tüm güncellemeleri yapmakta daha cok fayda var. ) sorun yaşamazsınız.
Daha önce belirtildiiği üzere İyi bir Güvenlik Duvarı ve Antivirüs koruma, Internet Güvenliğinin birinci kuralıdır.
Hangi programı kullanırsanız kullanın, programın, bütün indirdiğiniz dosyaları, e mail eklentilerini taradığından emin olun.
Antivirus tarama özelliklerinden \"Heuristic\" veya \"Bloodhound\" özelliğini mutlaka akitf hale getirin. Eğer antivirüsünüzün ActiveX Control ve Java Classlar için tarama opsiyonu varsa bunu da kullanın.
Kullandığınız programla, mümkünse Temiz Boot diskleri yaratın, günün birinde işinize yarayabilir.
Trojan Tarayıcılar - Özet Bilgi
Trojan atları diye bilinen trojanlar, masum programlar gibi gözüküp sistemde saklanan ve daha cok e mail eklentileri veya internetten indirilen dosyalarlar birlikte gelmektedir.
Bilindiği üzere, trojanlar calismaya basladiginda, kendilerini cesitli yerlere yerlestirir ve bilgisayarınızı kapatıp actiginizda, görevlerini yapmaya baslarlar.
Bazı Antivirus programlar, trojanları tesbit edebiliyor olsa da, her zaman çok daha yoğun bir Trojan Atı Koruma ve Opsiyonları sunan ayrı Trojan Tarama programları kullanmak çok önemlidir. Bu programlar daha çok antiviruslerle birlikte kullanılmak üzere tasarlanmıştır.
Birçok anti-trojan programı, antivirus programı gibi sistemde, gercek zamanlı olarak calısır. Eğer iki gercek zamanlı calisan bir trojan programı ve antivirus arasında bir cakısma yasanırsa, ( zaman zaman bu olabilir.- özellikle antivirus programınız, dosyalar kullanılmaya baslandığında dosyayı taramaya ayarlı ise... ) bu durumda anti-trojanın aktive scan özelliğini kapatmakta fayda vardır.
Antivirüs ün gercek zamanlı özelliğini her zaman açık olmalıdır.
Dosya ve Dosya Paylaşımını Kapatma:
Eğer, Yerel Ağ Bağlantısına bağllı olmayan bir bilgisayar kullaniyorsanız, network ayarlarınızdan, dosya ve yazıcı paylaşımını kapatın. Bu işlem NETBIOS portlarınızın tamamını devre dışı bırakacaktır. Bir Router veya güvenlik duvarı kullanıyor olsanız bile, bu tip bir işlem, size ekstra koruma sağlar.
P-2-P Güvenliği:
P2P Programlarını kullanırken, Internet üzerinde paylaştığınız dosyalar konusunda dikkatli olun. Sözkonusu servisleri ayarlarını yaparken, sadece izin verdiğiniz klasördeki programın paylaşıma ayarlanmış olduğuna çok dikkat edin. Ve Antivirüs’ünüz her zaman aktif olsun.
Messenger Güvenliği:
Kullandığınız Messenger Programını Güvenli hale getirin. AOL, ICQ, MSN, Yahoo Mesajlarını, bir IM sifreleme programı ile güvenlik altına alın. Sifreleme işi, her iki taraftan kullanılırsa o zaman etkili olacaktır.
Messenger programlarındaki , dosya transfer özelliğini kaldırın. Çünkü bu özellik, tahmin ettiğinizden fazla bir şekilde paylaşmak istemediğiniz durumları açık hale getirebilir. AOL; Net Messenger vs gibi programların Secenekler Tercihler menulerinden bu özelliği devre dışı bırakabilirsiniz.
Eğer biri size bir dosya yollamak istiyorsa, ya scan edebileceğiniz bir e mail adresine isteyin, ya da dosyanın belli bir yere upload edilmesini isteyin.
IP Adresiniz:
Ip Adresinizi bilin. Eğer internet bağlantınızın ip adresini ve kullandığınız yerel ağın ip aralıklarını bilirseniz, dışardan biri sisteminize girmeye kalktığında bunu tesbit etmeniz kolaylaşır.
Kayıt Defterinizi Koruyun:
Kayıt Defterini korumak için, Kayıt Defteri Koruyucu programlar kullanabilirsiniz. Özellikle sisteme yeni giren trojanlar genellikle, başlangıç dosyalarına ve kayıt defterine kendilerini kopyalarlar. Bir sonraki bilgisayarı açtığınız zaman, eğer kayıt defterinizde bu tip bir zararlı tarafından değişiklik yapılmış ise, Kayıt Defteri Koruyucu program sizi uyarır. Ayrıca bu tip bir program, yeni programları kurarken kullanıcıya son derece faydalı bilgiler sunar.
Ev Bilgisayarlarınızı Güvenlik Altına Almak( DÖKÜMAN ) /2
Dosyaları Çalıştırırken Dikkat :
Hiçbir zaman indirmekte uyguladığınız dosya kaydedip incelemeden direct olarak çalıştırmayın. Özellikle sonu, .exe, .bat, .vbs ve .com uzantılı dosyalarda dikkatli olun. Otomatik çalıştırma yerine, kaydedin, belli programlarla tarayın ondan sonra çalıştırın.
ActiveX ve Java Class:
Güvenliği olmayan, emin olmadığınız sitelerden asla ActiveX Control veya Java Class önerilerini kabul edip çalıştırmayın. En iyisi, tarayıcınızı, size bunlarla ilgili onay istemesini sağlayacak şekilde ayarlamak. Aksi takdirde, sadece zararlı bir yazılımın kurulmasına değil aynı zamanda tarayıcınızın ayarlarının değişmesine ve ana sayfa adresinin değişmesine çanak tutarsınız.
Eğer Internet Explorer kullanıyorsanız, bu ayarlar, Denetim Masası, Internet Seçenekleri, Güvenlik, Internet altında bulunur. Mozilla, Opera ve Netscape kullanıcıları default olarak Custom Seviyede uyarılırlar.
Tarayıcının Ayarlarının Değişmesi:
Bazı durumlarda, tarayıcınızın default olan başlangıç ve arama sayfaları bazı zararlı kodlar içeren web siteleri ve progr*****lar tarafından değiştirilirler.
Her zaman tarayacı ayarlarınızı, sizden onay alması şeklinde ayarlamakta fayda var.
Bu durum en çok, Internet Explorer kullanan kullanıcılarda, bazı sitelerde, sözkonusu ActiveX kontrollerinin, plug inlerin kurulmasına izin verilmesi, bazı internet ayarlarının aktif hale getirilmesi ile ilgili pop uplara izin verilmesi şeklinde gerçekleşir.
Bu tip progr*****lar çeşitli şekillerde bilgisayarınıza girebilir. Bu durum bir fareyle bir yere ya da siteyi dolaşırken bilmeden, bilmediginiz bir linke tıklamanız sonucu da oluşabilir. Bazı durumlarda, internet kısayolları, Sık kullanılanlara bile otomatik olarak eklenebilir.
Istendiğinde Yükleme Özelliği ( Install on Demand )
Internet Explorer kullanıyorsanız, \"Istendiğinde Yukleme Özelliğini Etkinlestir\" bölümü ayarlarda işaretli olmasın. Böylece Explorer sayfanın görüntülenme işlemi ile ilgili ekstradan bir şey yüklemesi gerekiyorsa kullanıcıya soracaktır.
Istendiginde Yukleme Özelligi Etkinlestir Opsiyonu, Denetim Masası Internet Secenekleri-Gelişmiş te bulunmaktadır.
JavaScript’e Dikkat !
Javascript, internette dolaşırken problem olmasa da, e mail için etkin hale getirildiğinde tehlike yaratabiliyor. Birçok internet kullanıcısı, tarayıcılarındaki her şey için Javascript i devre dışı bırakmakta.
Çok geniş kulllanımı olan internet programlama dili Java Script’ten bu kadar korkulmasının sebebi, E mail ve Taraycılarda ( Başta Internet Explorer ve Outlook olmak üzere ) ki güvenlik deliklerinin son zamanlarda sık sık keşfedilmesi.
Doğrusunu söylemek gerekirse, Microsoft da, ilk defa duyuracağı bir açık için, kullanıcılara hemen JavaScript’i devre dışı bırakmalarını öneriyor.
Bu metod, sözkonusu açıkla ilgili yama eklenene kadar, devre dısı bırakarak bir parça işe yarasa da, Script işleminin, ne yapabildiği ve ne yapamadığı hakkında mantılkı bir şey sunmuyor.
Belli açıklar hem program için risk teşkil ettiği için, sözkonusu açıklarla ilgili yama ve patchler uygulanmadığı muddetçe, bu tehlike devam etmeye mahkum. Yine de korunmasız bir sistemde bilgisayarınız Javascript sayesinde belli zararlıları içeri sokabiliyor.
JavaScript in nasıl çalıştığını anlamaya çalışmanın bir yolu, nasıl kullanıldığı.
JavaScript, Web Tarayıcısının görüntüsünü ve İçeriğini Kontrol Edebilir. Yeni Pencereler açabilir. HTML sayfaları dinamik olarak görüntüleyebilir, yeni sitelere linkler açabilir, pop up lar oluşturabilir. kullanıcının ileri geri sayfalarına gelip gidebilir, cookieleri ayarlayıp okuyabilir.
Buna ek olarak, JavaScript .belli Java Appletlerine ve Tarayıcının belli eklentilerini etkiler.
Pop up reklamlar, istenmeyen cookieler, ekstra bilgileri veren linkler arzu edilmese de, javascript sonuc olarak, ziyaret ettiğiniz sayfanın görüntüsünü ve performansını zenginleştirmekte.
Javascript’i devre dışı bıraktığınızda, ziyaret etmekte olduğunuz sayfanın web deneyimini tam olarak yaşayamazsınız.
Evet, scriptler sorun yaratabilir. Tarayıcınızın versiyonunu kontrol ederler, IP adresinize, cookilerinize bakarlar, önerici adresleri kaydederler vs.. yine de Javascript’i tamamen devre dısı bırakmaktan daha iyi yollar mevcuttur.
Bunu şöyle düşünmek lazım. Tarayıcınızın versiyonunun bilinmesi, sizin o versiyonla en iyi görüntülenebilecek sayfalara yönlendirilmeniz demektir.
IP adresiniz zaten internette dolaşırken sır değil ve her halukarda bir IP adresiyle dolaşmak zorundasınız. Ayrıca Javascript i devre dışı bırakmakla IP adresinizi tamamen gizlemis sayılmıyorsunuz. Cookie’ler, Reklam bannerları, pop up pencerelerine gelince ise, bunlar daha cok cookie/icerik filtreleri ile kontrol edilebilir.
Eğer, IP adresinizi tamamen gizli tutmak sizin icin cok önemil ise, bunun icin kimi paralı kimi ucretsiz cesitli servisler mevcuttur.
\"Anonymizer\" diye tabir edilen araçlar, proxy şeklinde kullanıp, sizinle internet arasında ortada yeralıp, ip adresinizi gizleyebilir.
Tabi ki şunu belirtmek gerekir ki, bazı sayfaları görüntülemek için proxy yi kaldırmak da gerekebilir. Örnek olarak Online Bankacılık siteleri.
Ve şunu da unutmamak lazım, Bu tip servisler size % 100 garanti sağlamaz. Bunun dışında bu araçlar da sizin ziyaret ettiğiniz sitelerin bir kaydını tutarlar.
Bilgisayara Yapılan Saldırılar:
Gerçek : Bilgisayarınızdaki dosyaları okuyan, değiştiren, ağ ayarlarınızla oynayan JavaScript’in kendisi değildir.
Javascript kendi başına asla bir tehdit oluşturmaz.
Tehdit, Javascript kullanılarak başka işlemlerin çalışmaya başlamasıdır. Bu da nedir ? ActiveX Control ya da Java Class dosyası şekli altında, aktif veya çalıştırılabilir bir içeriğin bilgisayarınıza yerleştirilmesidir.
Bunlar kuçuk progr*****lar olup plug-in gibidirler. Bilgisayara yüklenip, otomatik olarak bir programı yükleme ya da güncelleme gibi olayları başlatabilir. Bu kucuk progr*****ların sisteminize girebilmesi icin, hepsinin sistem onayını alması gerekir. Ya cok güvendiğiniz bir siteden girerler, ya da tarayıcınızın sordugu bir soruya evet demekle.
Eğer korumalarınız aktif değilse, bazı zararlılar sisteme rahatlıkla girer. Burada JavaScript’in aktif ya da değil olması önemli değildir.
Trojan, Saldırı çeşitlerinin en şiddetlilerinden sayılır.
Genel olarak, masum programlar gibi saklanırlar, e mail eklentileri veya indirdiğiniz programların icinde gelirler. Bu konuyu burada tekrar bahsediyoruz;
Trojanlar, JavaScript hangi durumda olursa olsun sisteme girebilir. Burada trojana karşı koyabileceğiniz tek savunma, iyi bir antivirus, iyi bir trojan scanner ve guclu bir firewall’dur.
Tabi ki bilgisayarınızda izniniz dışında bir programın çalıştırılmasına da musaade etmemeniz gerekir. Unutmayın ki, Javascript’in bilgisayarına zarar verebilecek bir programı sisteminize sokmaya izin vermedigeniz muddetce bir sorun cıkmaz.
Ev Bilgisayarlarınızı Güvenlik Altına Almak ( DÖKÜMAN ) /3
Basit JavaScript Kuralları:
Asla, E-mail ve eklentileri için Javascript’i aktif hale getirmeyin.
Javascript, internette dolaşırken gerekli olabilmesine rağmen, e-mailler için tehlikeli olabilir. E-Mail programlarında JavaScript’in nasıl devre dışı bırakılacağı ile ilgili adımları tek tek uygulayın.
Hiçbir zaman, çok güvenli olduğuna emin olmadıkça, E-mail programızın \"View Attachment Inline\"-Eklentiyi Otomatik Olarak Gösterme özelliğini aktif halde tutmayın.
Hiçbir zaman tanımadığınız kişilerden gelen e-mail eklentilerini direct olarak açmayın.
Özellikle, .exe, .bat, .vbs, ve .com uzantılı dosyaları indirirken dikkatli olun. Hiçbir zaman indirilir indirilmez programların kendi kendilerini kurmalarına izin ermeyin.
Tanıdığınız ve güvenli bulduğunuz yerler haricinde, hiç bir siteden ActiveXControl veya Java Class yüklemelerini kabul etmeyin. En iyisi, tarayıcınızı sizi bu konuda uyarmak üzere ayarlamak olacaktır. Bu ayarlar, Internet Explorer altındadır. Denetim Masası, Internet Seçenekleri, Güvenlik - Internet- Custom Level ( Kullanıcı Seviyesi )’nden bu ayarlara ulaşabilirsiniz. Mozilla, Opera ve Netscape Kullanıcıları, bununla ilgili default olarak uyarılırlar.
Eğer Internet Explorer kullanıyorsanız, \"Install On Demand\"-Istendiğinde Yükleme Özelliğini devre dışı bırakın. Böylece tarayıcınız, belli bir içeriğin görüntülenmesi için gereken ekstra bir özellik varsa, bunun yüklenip yüklenmemesini size soracaktır. Bu ayar da, Windows XP’de, Denetim Masası-Internet Seçenekleri-Gelişmiş ten görülebilir.
Güvenilir olmayan siteleri ziyaret etmekten kaçının. Veya zararlı siteleri ziyaret ederken dikkatli olun.
Yukarda daha önce bahsedildiği üzere, hem giden hem gelen trafiği kontrol edebilecek, çift yönlü bir firewall kullanın. Bu firewall’un sizi saldırılara karşı internette tamamen gizlemesi gerekir. Internet Zone ayarlarının güvenlik ayarlarını maksimumda tutmakta fayda var. Mümkünse her programın çalışması ile ilgili güvenlik duvarının sizi uyarmasını sağlayın. Sık kullandığınız programlar bile olsa. Eğer bir şüphe duyarsanız, sözkonusu programın kimliğini iyice incelemeden çalıştırmayın.
Antivirus kullanın ve tanımlamalarını, yamalarını düzenli olarak en az haftada bir gün yenileyin. Eğer antiviruslerinizde ActiveX Control ve Java Class’larını tarama opsiyonu mevcutsa, tarama yaparken bu opsiyonu mutlaka kullanın. Daha iyi bir koruma ve seçenek için iyi bir antivirüs programını, İyi bir Trojan Scanner ile birlikte kombine kullanmakta fayda var.
Internette ziyaret ettiğiniz sitelerle ilgili, bilgisayarınızdan ne tip bilgiler toplanabilir konusu ile ilgili, BrowserSpy’in web sitesini ziyaret edin. Oradaki testleri deneyin. JavaScript i aktif ve pasif olmak üzere testleri yapıp, sonuçları karşılaştırın. Böylelikle, JavaScriptlerin neler yapabileceği / yapamayacağı hakkında fikir edineceksiniz.
E-Mail Programlarında JavaScript’i Devre Dışı Bırakma:
Outlook:
1. Outlook’un Tools menusunden Options’ı seçin.
2. Options penceresinden Security sekmesine geçin.
3. Secure Content Bölümünde, Restricted Sites bölümünü seçin.
4. Zone Settings düğmesine basın.
5. Çıkan Pop Up ekranına Tamam deyin.
6. Security mesajında, Restricted Sites icon’unun seçili olduğundan emin olun.
7. Zone Güvenlik Ayarlarınızın en yüksek seviyede olduğuna emin olun.
8. Custom Level Düğmesine basın.
9. Security Settings penceresinde, Active Scripting girişine kadar gelin.
10.Active Scripting bölümünü Disable edin.
11. Security Settings bölümünde OK’e basın.
12. Security Penceresinde OK’e basın.
13. Options penceresinde OK’e basın.
Outlook için Not :
Bu işlemi yapmakla iki durum kontrol altına alınmakla.
Birincisi, E-mail programını, bütün ağ aktivitesinin Restricted bölümde yer alması için ayarlarını yapmış oluyoruz.
İkincisi, Restricted zone bölümünün default ayarlarını Active Scripting’i devre dışı bıracak şekilde ayarlamış oluyoruz. Sonuç olarak, E-mail programı, Active Scripting’i devre dışı bıraktığı için, Javascript yoluyla girebilecek herhangi bir exploit’i açmayacaktır.
Mozilla Mail Ayarı:
1. Menuden Edit’i seçiyoruz.
2. Menuden, Preferences’ı seçiyoruz.
3. Kategorilerden, Advanced’ı seçiyoruz.
4. Gelişmiş listeden Scripts & Windows’u seçiyoruz.
5. \"Enable JavaScript for\"’un altındaki \"Mail & Newsgroups\"un yanındaki kutunun işaretini kaldırıyoruz.
6. Önemli: \"Navigator\" bölümünü işaretli olarak bırakmamız, sadece tarayıcı ile ilgilidir. 5. Adımdaki opsiyon ise e mail ayarı ile ilgilidir.
7. Ayarları kaydetmek için OK’e basıyoruz ve Preferences penceresini kapatıyoruz.
8. Not: Netscape veya Outlook’un tersine, Mozilla’da bu seçenek zaten işaretsiz olarak gelmektedir. Ama güvenlik için bunu kontrol etmekte fayda var.
Mozilla Thunderbird Ayarı:
1. Menu’den Tools’u seçiyoruz.
2. Aşağı inen menuden Options’ı seçiyoruz.
3. Kategori listesinden Advanced’ı seçiyoruz.
4. Enable JavaScript in mail messages bölümünün yanındaki kutunun işaretini kaldırıyoruz.
5. Ayarları kaydetmek için OK’e basıp, Preferences penceresini kapatıyoruz.
6. Netscape veya Outlook’un tersine, Thunderbird’de bu opsiyon zaten işaretsiz olarak gelmektedir. Ama yine de güvenlik açısından kontrol etmekte fayda var.
Netscape Messenger Ayarı:
1. Menu bardan Edit’i seçiyoruz.
2. Aşağı inen menuden Preferences’ı seçiyoruz.
3. Kategori listesinden Advanced’ı seçiyoruz.
4. Enable JavaScript for Mail and News kutucuğunun işaretini kaldırıyoruz.
5. Önemli: Versiyon 4/7 Navigatorlarda, \"Enable JavaScript in Navigator\" özelliğinin akitf olması sadece tarayıcı için geçerlidir. 4. Adımda belirtilen ise e mail ayarı içindir.
6. Ayarları kaydetmek için, OK’e basıp, Preferences penceresini kapatıyoruz.
Eudora Ayarı:
1. Tools’a basıyoruz.
2. Options’a basıyoruz.
3. Viewing Mail’e basıyoruz.
4. Allow Executable in HTML content’in kutusunun işaretini kaldırıyoruz.
5. Netscape ve Outlook’un tersine, Eudora’da da, bu opsiyon, normal olarak işaretsiz gelir, ama güvenlik açısından birebir kontrol etmekte fayda var.
Ev Bilgisayarlarınızı Güvenlik Altına Almak( DÖKÜMAN ) /4
E-Mail Güvenliği:
HTML E-Mail
Kullandığınız E-mail programı eğer destekliyor ise, bütün e-mail mesajlarını HTML yerine sade text olarak görüntülemek daha güvenli. Daha çok güvenlik istiyorsanız, en iyisi E-mail İçerik Filtreleri Programlarını kullanmak. Zamanımızın, akıllıca kodlanmış tüm e-mail solucanları, HTML formatlı bir e-mailin açılmasıyla sisteme girebiliyor. Mozilla Mail ve Thunderbird’de, ana menuden View’e tıklayın. Message bOdy As’i seçin, ardından Plain Text’i seçin. Ayarın default olabilmesi için, Display Attachments Inline’ın yanındaki işareti kaldırın. Outlook’da ise, Security sekmesinden, Change Automatic Download Settings’i seçin ve Don’t Download Pictures or Other Content Automatically kutusunun işaretini kaldırın.
Eklentiler:
E mail Programınızın, View Attachment Inline özelliğini devre dışı bırakın.
Yabancı kişilerden gelen mail eklentilerini açmayın.
En özel mesajlarını yollamak için şifreleme programları kullanın. Unutmayın ki bu programlar mesajın bOdy kısmını şifreleyecektir. Mesaj konusu şifrelenmez.
Hiçbir zaman, bir mailde, kredi kartı numarası, banka hesap numarası veya sosyal güvenlik numarası gibi kişisel bilgilerinizi göndermeyin. İş için bu bilgileri şifreleyip karşı tarafa göndermiş olsanız bile, şifrelenmiş mesajın, açıldıktan sonra ne kadar güvenli olarak karşı tarafta kalacağı meçhuldur.
Hiçbir zaman, kişisel bilgiler soran e-mailleri cevaplamayın. Bu tip e maillerin çoğu, kredi kartı, banka hesap numarası ya da sosyal güvenlik numaralarınız gibi şahsi bilgileriniz çalmaya çalışan çoğu phishing scam maillerdir.
DİĞER GÜVENLİK TAVSİYELERİ:
İşletim sisteminizi ve tarayacınızı devamlı güncel tutun. Her yeni yama veya güncelleme yayınlandığında yükleyin.
Genel olarak sisteminizde, hangi uygulamaların hangi dosyaları çalıştığını öğrenin. Her uygulamanın direct internete çıkmasına izin vermeyin. Eğer şüphe taşıyorsanız, güvenlik duvarınızın devamlı sizi uyarmasını sağlayın.
Tarayacınızın, SSL özellikli ( Secure Socket Layer ) ve şifreleme özelliğinin yüksek ( 128 bit’ten az değil. ) olduğundan emin olun.
Aile üyeleri, kedi köpek isimleri, doğum günleri veya yıldönümleri gibi kolay tahmin edilebilecek şifreler kullanmaktan kaçının. Şifrelerinizi mumkun olduğu kadar çok basamaklı, küçük büyük harf ve rakamlarla karıştırın. Şifrelerinizi, bilgisayarda tek bir dosyada tutmayın. Mümkünse bir kağıda yazın. Eğer, tarayacınızın şifre yönetimi ile ilgili otomatik bir özelliği varsa, önemli şifreleri tarayıcının hatırlamasına izin vermeyin. Özellikle, iş yaptığınız online siteler ve banka sitelerinde.
Tanımadığınız sitelere güvenmeyin. Ya da dikkatli gezinin.
Casus-Yazılımlar:
Belli periyodlarla, harddiskinizde bulunabilecek, SpyWare, Adware, Keylogger, Spy Türü Modüller gibi zararlılara karşı, AntiCasus programları kullanıp tarama yapın.
Tanımlama:
\"Casus yazılım, kullanıcının haberi olmadan, sistemine sokulan, ve kullanıcının internetteki tüm aktivitesini, yine kullanıcının bilgisi dışında başka bir bilgisayara yollayan programdır.
Bu programlar vasıtasıyla, kullanıcının bilgisi dışında, profili ile ilgili bilgi toplanabilir ve bu bilgi ticari veya diğer amaçlar için kullanılabilir. Bu tip bilgiyi izinsiz toparlamak, almak ve dağıtmak, bilgisi dışında kullanıcının bilgisayarını ve internet ağını meşgul etmek tamamen artniyet göstergesidir.\"
Dick Hazeleger ( İlk Orijinal Spyware List’in kurucusu. )
Lan Güvenliği İçin Ek Bilgiler:
NAT Özellikli Router Kullanmak:
Eğer, sabit Ip adresi atanmış bir bağlantı, DSL, Cable vs gibi devamlı bağlı olduğunuz bir bağlantınız varsa, Yerel Ağ Bağlantısı olarak nitelendirilen LAN ile internet arasında bir Router kullanmakta fayda var. Eğer, Internet Servis Sağlayıcınız bunu desteklemiyorsa, değiştirmenizi öneriyoruz.
Router, kullanıcının iç ağ IPlerini, dış dünyaya maskelemek amacıyla Network Address Translation ( NAT ) kullanır. Bir hardware firewall ile kombine edilmiş bir router kullanmak her zaman daha güvenlidir.
Network Address Translation (NAT):
NAT, iki ağ arasında bir yorumcu gibidir. Ev ağını ele alırsak, NAT, WAN ( Wide Area Network veya Internet ) ile LAN ( Bilgisayarınızdaki Yerel Ağ Bağlantısı ) arasında yer almaktadır. Interneti, açık olan taraf ve bilgisayarınızın ağını, özel taraf kabul edersek, bilgisayar, özel bir taraftan, açık olan tarafa, bir data yollamak istedigi zaman, NAT devreye girer, o isteği, özel alandan alır değerlendirir, açık tarafa yollar. İki taraf arasında bir aracı görev üstlenir. Aynı şekilde açık alandan, bir yanıt datası geldiği zaman, yine NAT’tan süzülüp özel alana gelir.
ROUTERLAR:
Basit NAT araçları, gerçek firewall değillerdir. Yine de ev ağı kullanıcıları için yeterli güvenlik sağlayabilirler. Buna rağmen şunu akılda tutmakta fayda var. NAT araçları, DOS ( Denial Of Service ) Saldırılarını kullanan hackerlara karşı sizi koruyamazlar. Daha çok Smurf ve WinNuke Saldırılarına karşı işe yararlar. Bir NAT aracını, bir firewall programı ile birleştirir, iyi bir antivirüs programı ile de combine ederseniz, çoğu bilinen internet saldırılarıa karşı güvende olursunuz.
Hardware Firewallar:
Bazı NAT router’ların, Stateful Packet Inspection ( SPI ) diye tabir edilen ve Paket tarama özelliği bulunan hazır firewalları mevcuttur. Bu özellik, NAT aracının, Router üzerinden geçen datayı filtrelemesini sağlar. SPI terimi, basit NAT özelliğinden ziyade, daha cok portların ve adreslerin, packet data yapılarının incelenmesini de içeren filtrelemeler yapabilen routerları tanımlamak icin kullanılan bir terimdir. Her üretici değişik türde SPI kullanabilir. SPI Routerlar birbirine benzemeyebilir. Ama şunu söyleyebiliriz ki, SPI özelliği olan tüm routerlar, bu tip saldırıların loglarını tutabilirler.
TCP/IP Üzerinde Netbıos Portlarını Bocklamak:
Eğer, Yerel Ağ Bağlantısında dosya paylaşımınızı kullanmak ama dışardaki saldırılardan etkilenmek istemiyorsanız, TCP/IP üzerindeki NETBIOS portlarını kapatabilirsiniz. Bu iki şekilde yapılabilir.
1. Tercih Edilen Metod:
Kullandığınız firewall’unuz aracılığı ile, 135,137,139 ve 445 no’lu portlara giriş ve çıkışı blocklamak. ZoneAlarm, Internet Zone Security ayarları Yüksek olarak tutulduğunda, bu işi default olarak yapmaktadır.
2. Alternatif Metod.
TCP/IP üzerindeki NETBIOS’u elle devre dışı bırakmak. Bu metod daha çok ileri kullanıcıları ilgilendirmekle birlikte, son zamanlarda çıkan son model modem, router ve firewall’ların otomatik ayarları sebebiyle gereksiz gelebilir. Windows XP’nin bu tip işlemlere karşı çıkabilecek problemleri de gözardı etmemek gerekir.
Diğer Ev Güvenlik Tavsiyeleri:
Zaman zaman, modeminizin ışıklarını kontrol edin. PC’nizdeki tanıdık gibi gelmeyen belli logları gözden kaçırmayın. Bu tip davranışlar, PC’nizde casus tarzı bir yazılım olma ihtimalini arttırır.
Eğer kablosuz bir router kullanıyorsanız, WEP (Wired Equivalent Privacy ) özelliğini devreye mutlaka sokun.
Bilgisayar ağınızda bulunan her bilgisayar için ayrı bir kullanıcı adı ve sifre belirleyin. Ağ üzerinde paylasılacak klasörlerinizin yetkilerini iyi belirleyin.
Internete bağlı olduğunuzda, sizin icin cok önemli olan dosyaların emniyetini garanti altına alın. Hassas dosyaları, paylasabilir klasörlere koymamaya dikkat edin. En iyi tavsiye bu dosyaların bir CD üzerinde ya da kaldırılabilir bir medya üzerinde muhafaza edilmesidir. Başka bir opsiyon ise, bu tip dosyalarınızı, 3. parti bir güvenlik programı ile korumaktır. Bu tip programları seçerken, işletim sisteminizle uyumlu olmasına dikkat edin. Birçok dosya kitleme programı XP de kötü sonuclar doğurabilmektedir.
Unutmayacağımız bir konu da, bağlantıyı yapan bilgisayarımız tek bile olsa, onun bağlantısını kullanan ağ üzerindeki diğer bilgisayarların da aynı güvenlik önlemleri ile donatılmış olduğundan emin olun.
D33P & D@RK GÜVENLİK YAZILARI</STRONG></EM></U>
Sistem Açıkları Ve Çözümleri - 1
Sistem güvenligini saglama ve olasi aciklari bertaraf etmek icin kullandiginiz yapiya bazi noktalarda yamalar yapmak durumundasiniz.Default kurulum sonrasi servis paketlerini ve sonrasi cikan yamalari eklemek bile bazi noktalarda aciklari ve acik olarak gorulebilecek ve somurulecek hizmetleri kisitlamaya veya erisimleri kisitlamaya yetmeyebilir.Bu durumlarda sistem ici uygulamalar manual olarak kullanici tarafından kontrol edilmelidir.Basit regedit kisitlamalari,program erisim ve calisma noktalari ayarlari ,kurulumlari sirasinda olusabilecek bazi hatalar vs.. Bu dokuman da bu yontemlerin bazilarinin kullanimini ve sonuclarini paylasmak amaciyla yazilmistir.
// Tum ayarlar test edilmistir.Herhangi bir soruna mahal vermez.Olasi yanlis girislerinize karsi dikkatli olun, yedek alin
// Konularin belli bir siralanisi olmadigindan ayni icerik ileriki bolumlerde tekrar karsiniza cikabilir.
1- Port Kullanımı :
Portlarin mantigini kavrayan birisi baglanti noktalarinin ne denli onem tasidigina vakiftir.Listening durumda olan bir port,o port’a baglanmak icin yazilmis bir tojan icin guzel bir kapidir.
Port numaralari icin **** http://www.iana.org/assignments/port-numbers
Ilk kurulum sonrasi XP isletim sistemi SP2 ve sonrasi yamalar yuklu olsa dahi bazi portlarini acik olarak verecektir.Simdi sisteminizde C:\\netstat -an yazarak \"listening\" \"Syn_Sent\" \"Established\" durumlarina bakabilirsiniz.
Asagidaki ornek yapi uzerinden bazi islemler yapacagiz.
C:\\>netstat -an
Etkin Bağlantılar
İl.Kr. Yerel Adres Yabancı Adres Durum
1- TCP 0.0.0.0:1039 0.0.0.0:0 LISTENING
2- TCP 0.0.0.0:1040 0.0.0.0:0 LISTENING
3- TCP 10.0.0.3:1951 207.46.1.9:80 ESTABLISHED
4- TCP 10.0.0.3:1999 80.237.211.8:80 ESTABLISHED
5- TCP 10.0.0.3:1978 66.249.93.104:80 ESTABLISHED
6- TCP 10.0.0.3:1984 18.7.22.69:80 ESTABLISHED
7- TCP 10.0.0.3:1995 64.233.183.99:80 ESTABLISHED
8- TCP 10.0.0.3:1996 64.233.183.99:80 ESTABLISHED
9- TCP 10.0.0.3:1997 64.233.183.99:80 ESTABLISHED
10-TCP 127.0.0.1:1036 0.0.0.0:0 LISTENING
11-TCP 127.0.0.1:1067 127.0.0.1:1068 ESTABLISHED
12-TCP 127.0.0.1:1068 127.0.0.1:1067 ESTABLISHED
\"Listening\" = 1 nolu satirda sistemimize ait 1039 nolu port dinleme durumunda,Yabanci adresten gelecek baglanti istegini kabul edecek ve baglanti kurulacaktir.
\"Established\" = Kurulu olan mevcut baglantilarimizdir.Ornek olarak 4 nolu siraya bakabilirsiniz.Sistemime ait olan 10.0.0.3 ip adresim 1999 nolu portumu kullanarak yabanci adres olan 80.237.211.8 [CW] ile ona ait 80 nolu portla iletisim kurmus.
Birde sys_sent durumu vardır.Bu da bizim veya uzak pc nin baglanti kurma istegi gonderdigi anlamindadir.
Simdi sisteminde netstat -an sonucu acik olan portlarinizi nasil kapayacaginizi anlaticam.Sisteminizde bir firewall kurulu oldugunu varsayiyorum.Firewall ilk kurulumda genel portlari kapar ve sizin her islem yaptiginizda sorar baglanti istegine izin veriyormusun diye.Sizde politikanizi olusturur ve sureci isletirsiniz.Fakat genel olarak 135,137,138,139,445 vs portlariniz aciktir.Bu portlar en cok saldiri alan ilk 10 Port arasindadir ve Listening durumunda olduklari icin gelen baglanti istegini (Syn_Sent) kabul ederler.
Su sayfadaki portlara bir goz atin ve saldiri alan top portlari gorun ; http://isc.sans.org/top10.php
http://www.dshield.org/topports.html
Oncelikle 139 nolu port ile baslayalim.NetBıos yoluyla rahatlıkla size erişim saglarlar.1-2 populer oyuncakla bunlar kolaylikla yapilir.Yerel ag baglantisi\\Ozellikler\\Internet Iletisim kurallari(TCP/IP) ye cift tiklayin\\Gelismis\\WINS\\En altta devre disi biraki isaretleyin.
135 nolu port :Regediti acin.. HKLM\\Software\\Microsoft\\Ole.. Yan tarafta EnableDCOM verisini cift tiklayin ve icerisini N olarak degistirin.Bos alanda sag tiklayin.Yeni\\Dize degeri olusturun.Icerisine EnableRemoteConnect yazin,deger verisi olarak yine buyuk N yazin.
Bir üst basamakta RPC yi acin (HKLM\\Software\\Microsoft\\RPC) sag tarafta DCOM Protocols girdisini cift tiklayin ve ncacn_ip_tcp adli veriyi silin,digerlerine dokunmayin.
445 nolu port : HKLM\\System\\CurrentControlSet\\Services\\NerBT\\Param eters.. sag tarafta TransportBindName i cift tiklayin ve icerisindeki -Device- girdisini silin.
21,23,25,110 nolu portlar: Bunlarda açık varsa Firewall uzerinden rahatlikla kapayabilirsiniz.
Regedıt Acıklarını Kapama :
Sistemin tum isleyisinin bir nevi kontrol merkezidir regedit.Her islem onceden tanimlidir icerisinde ve islemler sistem kurulumunda bazi aciklari beraberinde getirir.Gereksiz baglanti,bildirim,erisim vs gibi kisimlar kullanilmadigi takdirde guvenlik alaninda aciklara sebep olacaktir.Şimdide default regedit/dizin erişim yollarinin onunu tikayarak sistemi bir nebze daha iyilestirecegiz
** Lamerlerin oyuncaklarina karsi savunma : DDos türevi baglanti istekleri gonderen kisinin bu hareketine karsi ;
HKLM\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Param eters
EnableICMPRedirect\"=dword:00000000
EnablePMTUDiscovery\"=dword:00000000
EnablePMTUBHDetect\"=dword:00000000
PerformRouterDiscovery\"=dword:00000000
EnableDeadGWDetect \"=dword:00000000
NonameReleaseOnDemand\"=dword:00000001
SynAttackProtect\"=dword:00000002
KeepAliveTime\"=dword:000493e0
TcpMaxHalfOpen\"=dword:00000064
TcpMaxHalfOpenRetried\"=dword:00000050
TcpMaxPortsExhausted\"=dword:00000005
TcpMaxConnectResponseRetransmissions\"=dword:000000 03
ayarlarini bu sekle getiriniz.Firewall kullanicilari eger dogru congiguration yaptiysaniz bunu sizin yerinize program otomatik olarak yapacaktır.
** Uzaktan yardimi kapatma :
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Contro l\\Terminal Server
fAllowToGetHelp\"=dword:00000000
fDenyTSConnections\"=dword:00000001
Bunun disinda uzaktan yardimin kullandigi portuda degistirebiliriz.Boylece istekler cevapsiz kalacaktir.
** Ag icinde olanlar icin erisim kisitlamalari :
-- Anonim kullanici erisimini sinirlar.Onune gelen sistemdeki dosyalarinizi goremez.
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Contro l\\Lsa]
restrictanonymous\"=dword:00000001
-- Ag Uzerindekilere paylasimi kapatir
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\Curre ntVersion\\Policies\\Explorer
NoRecentDocsNetHood\"=dword:00000001
Yonetim Konsolu Ayarları / Group Polıcy :
Bu konsoldan bilgisayara ve kullanicilarina ait erişim kısıtlamalarını ve düzenlemelerini yapabilirsiniz.Emın olmadiginiz kisimlara dokunmayin.Olasi sistem hatasi yanlis girisleriniz sonucu meydana gelebilir.
** Bilgisayar Yapılandirmasi/Windows Ayarlari/Guvenlik Ayarlari/Yerel Ilkeler/Kullanici Haklari Atamasi..
Bu kisimda erisim ilkeleri belirlenir.Daha once buralari degistirmemis arkadaslar emin olmadiklari kisimlari degistirmesinler!
Sag blokta nesnelere kimlerin erisebilecegi belirli default olarak.Bazi kisitlamalar yapmak gerek buradada.Ornek olarak ; Bu bilgisayara ag uzerinden erisime izin verme.. Uzaktaki bir sistemden oturum kapatmaya zorla.. Bu bilgisayara ag uzerinden erisime izin verme (LAN)
Bilgisayar Yapılandirmasi/Windows Ayarlari/Guvenlik Ayarlari/Yerel Ilkeler/Guvenlik Secenekleri..
Bir kac ornek veriyorum yine.Gerisini siz kendi politikaniza gore belirleyin.
Uzaktan erisilebilir kayit defteri yollari,
Adsiz kullanicilara everyone izinleri uygulansin,
Adsiz baglanabilecek Paylasimlar.
.......
** Bilgisayar Yapılandirmasi/Yonetim Sablonlari/Windows Bilesenleri.. Altta bulunan ara birimler icerisinde yapılandırma yapıcaz.
- NetMeeting evre dışı
- Internet Explorer :Internet Denetim Masasi/Guvenlik Sayfasi/Internet Bolgesi..
Not:Sadece bu ayarlarin hepsini yapmaniz durumunda actiginiz sayfalarda ***intilar yasayabilirsiniz.Login problemi,hareketli sayfalarin goruntulenmemesi vs.. Sayfa interaktifligini yitirir fakat hiç bir zararlininda yuklenmesine izin vermez.Yuksek onem arz eden girislerinizde bu ayarlari kullaniniz,iclerinde uygun olani belirleyin.
Sag tarafta bulunan Java: Devre Dışı,
Imzasiz AktiveX Yuklemnemsi evre Dışı
Aktivex Denetimlerini ve eklentilerini çalıştır evre dışı
Java Progr*****larinin Calistirilmasi : Devre Dışı
...... Sayfadan uygun olanlari seçin.
- Terminal Hizmetleri : Terminal hizmetleriyle kullanıcıların baglanabilirligi evre Dışı
Sadece bu ayari yapmaniz yeterli.Digerleri erisim izni olmadigindan zaten gecersiz kalir.
** Bilgisayar Yapışandirmasi/Yonetim Sablonlari/Sistem/...
Uzaktan Yardim :Ikisinide devre disi yapin
Uzaktan Yordam Çagrisi (RPC) : Devre Disi
Internet Iletisim Yonetimi : Internet iletisimini kisitlayi etkin yaparak bir ustteki klasore giriyoruz.Klasorun iceriginin tamaminin ETKIN oldugunu goreceksiniz.Isteginize gore kapayip acabilirsiniz.
** Bilgisayar Yapışandirmasi/Yonetim Sablonlari/Ag/Windows Guvenlik Duvari/Etki Alani Profili..
XP nin dahili firewallinida kullanan icin :Yapilandirmalarin aciklama kisimlarini okuyarak etkinlestirebilir veya kapayabilirsiniz.
Tum ag baglantilarimi Koru: Etkin
Uzak masa Ustu Ozel Durumuna Izın Ver: Devre Disi
Dosya ve yazici paylasimi ozel durumlarina izin verevre Dısi
Uzaktan Yonetim Ozel durumuna izin ver evre Disi
........
Ayarlarinizin tamamini kontrol edin.Bu ayarlar etki alani icerisinde gerceklesir.Bir altta Standart profil kisminada ayni secenekleri secerek uygulayin
- Yazicilar : Eger yaziciniz varsa ve ag ici kullanimi soz konusuysa bu kisimda Web tabanli yazdirmayi devre disi birakin.Ornek vermek gerekirse
http://dns.media.eng.hokudai.ac.jp/home.shtml
http://oiell-a-237.oiell.purdue.edu/
** Kullanici Yapilandirmasi :
Yönetim sablonlari : Bu kisimdaki basliklardan sisteminizdeki diger kullanicilar icin kisitlamalar yapabilirsiniz.Bilgisayar yapilandirmasindaki ayarlarimizi buradada uygulayin.
Bilgisayar Yonetımı :
Bu kisma bilgisayarim ikonuna sag tiklayarak yonet seceneginden girebilirsiniz.
- Sistem araclari/Yerel Kullanicilar ve Gruplar..
Users kismindan Guest,Help Assistant vs kullanicilari kapayabilirsiniz.Ayni sekilde Gruplar basligindanda istemediginiz erisimleri kisitlayabilirsiniz.Cmd den Net user i kullanip oradaki support u silerseniz ekranda daima hata mesaji alirsiniz.Bu kisimdan kapatirsaniz sistemde herhangi bir hata olusmaz.Kapattiktan sonra cmd de support,help vs gorunmeside bir seyi ifade etmez.Yonetim konsolundan kapatilirsa erisimleri kapanir.
- Hizmetler ve Uygulamalar\\Hizmetler : Bu kisimda sistem uzerinde calisan sevislerin erisimlerini kisitlayalim.Mesela TCP/IP NetBıos Yardımcisi.. Uzaktan erisim baglanti yoneticisi.. Uzaktan kayit defteri vs.. Uzak erisimleri kisitlayin.
Cookıe Yonetımı :
Icerige basit olarak degineyim.Cookie (cerez) genel olarak bir siteye baglanti yaptiginizda sizin bilgisayariniza yukledigi dosyadir.Siz CW ye her girisinizde sisteme en son hangi tarih ve saatte girdiginizi gorursunuz.Sisteme eristiginizde cookie nize sistem tarafindan bir ID atanacak ve bu sizin bir nevi kimlik kartiniz olacaktir.Daha once hic CW ye girmemis birisi ilk girisinde CW tarafindan rastgele bir ID ile tanimlanir.Eger daha once giris yaptiysa ,girisde CW database de karsiligina gelen cookie bulunur ve sistem kullaniciyi tanir.Saat tarih vs bilgiler boyle bilinir.Login olurken beni hatirla secenegini tiklayanlarin cookie sine sabit bir ID atanir ve her giriste bu ID kullanilir.Siz sifre&kullanici adi girmezsiniz.Sizin bilgisayardaki cookie baska biri tarafindan ele gecirilirse sizin ID ile sisteme erisim saglayabilir.Cookie calma methodlari forumlarimizda mevcut.Korunmak icin bazi seyleri yapmamiz gerek.Simdi bunlara bakalim.
Kullanici tercihlerine gore reklam gorme nette hepimizi ilgilendirir.Siz devamli arastirmalar yaptiginiz bir konu ile alakali reklamlari baska sitelerde gorebilirsiniz.Bu reklam size ozeldir.Sizin tercihleriniz bilinir ve buna uygun reklam verilir.Bu da olayin farkli bir boyutu fakat sirketlerin para kazanma mantıgına dair guzel bir bilgi.
Bunun icin oncelikle cookie lerin oldugu klasoru salt okunur olarak ayarlamaliyiz.Bu yontemle siteler cookielere ulasabilir fakat uzerine yeni bilgi ilave edemez.Bunu IE kullananlar Internet Secenekleri/Gizlilik uzerinden uygulayabilir.Firefox kullanicilari Araclar/Secenekler/Gizlilik/Cerezler Basligindan gerekli duzenlemelerini yapabilir.Ucuncu kisilerin cerez birakmalarini engelleyin.Ayrica firefox u acin ve arama cubuguna \"aboutfig\" yazin.Buradanda kendi seceneklerinizi belirleyin.
Tarayicinizin ayarlarinda bulunan Java ,JavaScript ve AktiveX düzenlemelerini kesinlikle yapin.Bunlarin acik olmasi sizin sistem uzerinde yaptiginiz tum ayarlari ve firewall u bir kenara itip url uzerinden kod calistirilmasina ve cookie bilgilerinizin baska yerlere ulasmasina olanak tanir.
Program Duzenlemeleri :
Farkli amaclar dogrultusunda kurdugunuz programlarin nerelere bilgi gonderdigi,hangi portlarinizi actigini hangi kisimlara erisim sagladigini belirlemeniz gerek.PC niz icin hayati oneme sahip regedit,her program kurulumundan sonra yeni eklemelerle yeniden duzenlenir.Mesela bir AV programi kurdunuz fakat bunun sistem acilisinda calismamasini istiyorsunuz.Bunu düzenlemenin yollari malum bilinir herkesce.Msconfig veya Regeditteki Run klasoru altindan degistirebilirsiniz.Fakat bunlari her an gorme fark etme durumumuz yok.Bunun icinde regedit uzerindeki degi***likleri kontrol edebilen bir program kurmaliyiz.Bildiginiz gibi her yuklenen program Regedite kayit yapar kendini.Mesela Trojanlar,keyloggerlar.. Sistemde calisan bir Regedit koruyucu program trojanin veya baska zararlinin yuklenmesini engelleyecek ve size uyari verecektir.xxx programi xxx dizinine yuklendi,kabul ediyormusunuz diye.
AV programina guvenen veya Firewall dan bir sey gecmez diyenler tekrar dusunmeli ve regedit protector turevi programlari kullanmalidir.Tabiri caizse ev yapimi ve anti-viruslere yakalanmayan onlarca trojan ve keylogger varve hala birilerinin bilgisayarindan bilgi caliyorlar.Cagirdiginiz bir sayfadan veya kurdugunuz bir programdan rahatlikla yuklenir ve AV zararliyi DB sinde gormedigi icin uyari vermez.
Bildiginiz üzere bazi progr*****lar sistemde bulunan koruma panellerine direk nüfuz ederek işlemesini engellemek amaciyla yapilir.Mesela bazi Trojanlar sisteme entegre oldugu an çalışan AntiVirüs veya FireWall türevi koruma programlarini Disable eder.Bunu engellemek için koruma programlarinin içerisinde bulunan kullanici onayli şifrelemeyi kesinlikle ihmal etmeyin.Sistemi kapatmak veya tekrar aktif yapmak şifre korumali olmali.Bu sayede bir adim daha öne geçmiş oluruz
ROOT-KIT’LER / DOKUMAN
Bu yazılarımızda, Root -Kit’lerle ilgili biraz bilgi verelim.
Root-Kit nedir ? Root-Kit, bilgisayarlarda ve işletim sistemlerinde çekirdek seviyesinde çalışan programlarda gizlenebilen çok tehlikeli uygulamalar olarak tanımlanabilir.
Root-Kit denilen araçlar, hacker’ın sistemin içinde kalmayı garantimek için kullandığı araçlardır.
Şimdi Root-Kitler’le ilgili ana bilgileri verelim:
Önce Root-Kit Tanımlaması:
Zararlı kategorilerin en tehlikelerinden biri olan RootKit’lerin ismi, Unix Tabanlı İşletim Sistemlerinin, En Önemli Hesabı Sayılan ve Windows’daki Yönetici Hesabına eş olarak kabul edilen Root’dan gelmektedir.
Yıllar önce, bir hacker, bir bilgisayarın butun Root haklarını ele geçirip, daha sonrasında Kit ismini verdiği Kendi Uygulamalarının tamamını yüklemiştir.
Bu Rootkit, Hacker’a sözkonusu sisteme giriş çıkışla ilgili çeşitli haklar sağlamış, bunların arasında uzaktan sözkonusu sistemi istediği gibi yönetme özellikleri de olmuştur.
İlk bilinen, Windows RootKit’i sayılan NT-ROOTKIT, Güvenlik Kitapları Yazarı Greg Hoglund tarafından 1999 yılında yayınlanmıştır.
Hoglund, şu an Rootkit’lerin oluşturulması ve silinmesi ile ilgili www.rootkit.com isimli web sitesinin de sahibidir.
Tipik olarak, RootKitler, işletim sisteminin defolarından yararlanmak yerine, bu işletim sistemlerinin daha çok genişlemeleri, geliştirilmeleri ile ilgili durumları kullanırlar. Örnek olarak, Windows platformunu ele aldığımızda, gayet moduler, esnek ve yeni, güçlü uygulamalar hazırlamak için çok basit bir platformla karşılaşırız.
Windows için hazırlanmış RootKitler, işletim sisteminin çalışma şekillerinde değişiklik yaratarak, sistemi hacker’ın giriş ve çıkışına uygun hale getirirler.
1 Hacker Rootkıt’ı Nasıl Yukler ?
Bir Hacker’ın RootKit’i bir sisteme yüklemesi için, bir şekilde sisteme girip administrator ( Yönetici ) Haklarını elde etmesi gerekir.
Bunu türlü yollarla başarabilir. Şöyle ki:
Zararlı bir kodu, Web’den indirilebilecek, bir oyun, programa ekleyebilir ve kullanıcıyı o uygulamayı herhangi bir websitesinden indirmesi için yönlendirebilir.
Kullanıcının, şifresi basitse, tahmin yolunu kullanabilir.
Sistemde, bulunan bir güvenlik açığının avantajını kullanabilir.
Zayıf bir şekilde donatılmış sistemi, exploit’leyebilir.
Ve en sonrasında, sistemin kontrolünü ele geçirdiğinde, kendi RootKit’ini sisteme kurar.
User-Mode ve Kernel-Mode Root-Kitleri arasındaki fark nedir ?
Esrar perdesi yönünden, Rootkitleri, Trojan ve diğer virüslerden ayıran en önemli özellik, sistemde çok iyi gizlenmeleri , tesbit edilmelerinin ve silinmelerinin çok zor olmasıdır.
RootKit, Hacker’a, sonraki saldırıları için kapı hazırlar, açar, istenilen uygulamaları çalıştırır, istenilen uygulamaları izler, hacker tarafından daha sonra toplanabilecek tüm bilgileri toparlar.
Günümüzün, yaygın rootkitleri, daha çok, yönetici hakları olan kullanıcı ( user ) modlarında çalışmaktadır. Güvenli işletim tabanının entegrasyonunu bozan bu rootkitler, güvenliğin alt sistemlerini değiştirirler ve sözkonusu yönetim hesabını mesrulastırmak için yanlıs bilgi sunarlar. Sistemin belli uyarılarını keserler, APIler gibi belli programlama arayüzü programlarının çıkışlarını filtreleyebilirler. ( Sistemde olup biten işlemleri , sistem sürücülerini, belli dosyaları, ağ portlarını, kayıt defteri anahtarlarını ve sistem servislerini gizlemek gibi. )
Su an için, HE4HOOK, VANQUISH, APHEX ve en populer olanlardan HACKDEFENDER gibi çeşitli Root-Kit’ler mevcuttur.
Bahsi geçen Rootkitlerin çalışmasının en önemli şartı, hedef bilgisayara tek tek kurulması ve bilgisayar her açıldığında otomatik olarak devreye girmesidir.
User-mode rootkitlerin en büyük dezavantajı, Kernel Mod’ta çalıştırılabilecek bir kodla tesbit edilebilmeleridir.
Rootkit yazan bir hacker bu durum karşısında ne yapacaktır ? Doğal olarak yazmış olduğu RootKit’i Kernal’a yüklemenin yolunu arayacaktır. Fakat bu işi yapmak söylendiğinden daha zordur.
Kernel-Mode’da çalışan bir RootKit oluşturmak ve gizli kalmasını sağlamak çok zordur, çünkü kullanılan kod bozulursa, Windows Mavi Ekran hatası verir.
Kernel-Mode Rootkitlerin, en büyük özelliği, sistemin çökmesine sebep olmalarıdır.
Bu da Micrsoft Personelinin, sözkonusu RootKit’i incelemesi ile ilgili işlerini kolaylaştırmaktadır. Çünkü Microsoft genel olarak sistemi çökerten sebepleri inceleyerek, destek hizmetini genişletmektedir.
FU isimli RootKitin, ısrarcı-olmayan bir Kernel-Mode Root olması sebebiyle, tesbit edilmesi çok güçtür.
Israrcı-olmayan gruba girmesi yüzünden bu Rootkit’in dosyaları sistemde yüklü olmaz. Kernet-Mode RootKit olduğu için, tesbit edilmesi çok zor olan bu Rootkit, sistemin kapatılıp açılmasıyla silinir. Bu durumda hacker sisteme girmenin yolunu tekrar aramak zorunda kalacaktır.
Üzülerek belirtmek gerekir ki, Rootkitler dışındaki zararlı olan tüm virus ve trojanlar da gizlenmeyi sever. Hacker’lar keylogger ve trojan benzeri tüm zararlı kodları, yukarda bahsedilen rootkitleri sakladıkları gibi saklamayı severler. Örnek vermek gerekirse, sisteminin sık sık çökmesinden şikayetçi olan bir kullanıcının bilgisayarı incelendiğinde, Kendini, Kernel-Mode RootKit larak saklamaya çalışan bir casus yazılımla karşılaşılmıştır.
Diğer Root-Kit Türleri:
Persistant Rootkits: ( Israrcı RootKitler )
Sözkonusu Rootkitler, sistem her açılıp kapandığında, ilişkilendirilmiş zararlı yazılımla birlikte devreye gider.
Kullandığı zararlı yazım kodu, sistemin her başlangıcında çalışmaya ayarlı olduğu için, her kullanıcı girişinde, kayıt veya dosya sisteminde kendisini ısrarla tutarak devrede olur.
Memory-Based Rootkits: ( Hafıza Tabanlı Rootkitler )
Bu Rootkitlerin, süreklilik sağlayan kodları bulanmadığın, bilgisayar restart ettiğinde, silinirler.
Windows’da RootKit’leri Nasıl Tesbit Eder ve Silebiliriz ?
RootKitleri tesbit etmek ve silmek çok ugrastırıcı olabilir.
VICE, PatchFinder2 gibi Tesbit Etme Uygulamaları dışında, birçok RootKit Tesbit Etme Programları, maalesef yine bu RootKitleri yazan kişileri tarafından hazırlanmıştır.
\"Beyond Fear\"ın yazarı Bruce Schneier’in Rootkiti hakkında, kendi blog’unda yazmıs olduğu yazılar;
( http://www.schneier.com/blog/archive...ostbuster.html )
ve RSA Konferanslarında sunulmuş olan Windows RootKit’leri, çok büyük yankı uyandırmıştır.
Bunun üstüne, bazı Güvenlik Şirketleri, Rootkitlerle başa çıkabilmek için, Güvenlik Suitlerinin dışında, tek başına küçük uygulamalar çıkarmışlardır.
Bunlardan bir kaçını örnek vermek gerekirsek, SYSINTERNALS firmasının ROOTKITREVEALER programı veya F-SECURE’un henuz Beta aşamasında olan BlackLight Betası gösterilebilir.
Microsoft’da RootKitleri tesbit amaçlı, Microsoft Malicious Software Removel Tool’u çıkarmış ve aylık olarak güncellemektedir.
Üzülerek belirtmek gerekir ki, RootKitleri tesbit eden araçlar ne kadar başarılı olursa olsun, RootKitleri yazanlar, bu Rootkitleri yenilemekte ve tesbit edilmemeleri için kodlarını değiştirmektedirler. Bu Kedi Fare oyunu şeklinde devam etmekte ve gelecekte de devam edecektir.
Bütün bunlar kulağa hoş gelmese de, Rootkitlerden ve Casus Yazılımların getirmiş olduğu tehlikeleri minimuma indirmek için yapılması gerekenler :
Antivirus ve antispyware yazılımlarınızı devamlı güncel tutmak.
Ağları da tarayan, çift yönlü Firewall’lar kullanmak.
İşletim sistemlerinin ve tüm programlarının en güncel yamaların takip etmek ve yüklemek.
İşletim sistemini mümkün olduğu kadar girilmesi zor kılmak. ( Şifreleme işlemleri )
Bilmediğiniz kaynaklardan gelen programları kurmamak.
olacaktır.
Bunun dışında, bu yazıda geçen bazı RootKit Detectorleri, Security bölümünde, Tüm 2006 Diğer Güvenlik Programları başlığına eklenmeştir.
Sözkonusu programları deneyerek, sisteminizdeki rootkit varlığını araştırabilirsiniz.
Link :
http://www.Cyber-security.org/CW/Forum/display_topic_threads.asp?ForumID=26&TopicID=73380 &PagePosition=1&ThreadPage=1
Kaynaklar:
http://www.sysinternals.com/Utilities/RootkitRevealer.html
http://searchwindowssecurity.techtarget.com/originalContent/0,289142,sid45_gci1086474,00.html
http://support.microsoft.com/?kbid=890830
http://www.rootkit.com/
Servisler:
Aşağıdaki liste genellikle masaüstü bilgisayarlarda kullanılmayan servisleri içermektedir. Özellikle kullanılmayacaksa kapatılması önerilmektedir.
Alert: İşlemler arasında bilgisayar kullanıcısına ilgili işlemle ilgili mesaj gönderen bir servistir.
Clipbook: \"Clipboard\" (bilginin geçici olarak yüklendiği bellek alanı) bilgilerin ağ üzerinden paylaşılmasını sağlamaktadır.
Computer Browsing Service: Ağ paylaşımlarından ağdaki bilgisayarların ve paylaştırdıkları bilgilerin görüntülenmesini sağlayan servistir. Kapatıldığı zaman kullanıcının ilgili paylaşımın kaynağını bilmesi ve Explorer penceresinden yazarak ulaşması gerekmektedir.
Fax Service: Faks almayı sağlayan servistir.
FTP Publishing Service: IIS (Internet Information Server) içinde bulunan bir servistir. Varsayılan olarak yüklenmez. Masaüstü bilgisayarların dosya paylaşımların ISS’in kullandığı bir FTP sunucudan yapması önerilmemektedir.
ISS Admin Service: ISS servislerine uzaktan erişim sağlar. Masaüstü bilgisayarlarda bulunmaması gereken bir servistir.
Internet Connection Sharing: Internet’e bağlı bilgisayarın ağ geçidi olarak çalışmasını sağlayan servistir. Yerleşkemizde gerçek IP kullanımı önerilmektedir.
Messenger: Alert servisi ile birlikte çalışan, mesajları birçok bilgisayara gönderen servistir.
NetMeeting Remote Desktop Sharing: Sistem yöneticileri tarafından kullanılan bir servistir.
Routing and Remote Access: Bir ağdaki bilgisayarların başka bir ağdaki bilgisayarlara erişmesine yardımcı olan ya da uzaktan erişim sunucusu olarak kullanıcılacak bilgisayarda çalışan servistir. Masaüstü bilgisayarlarda kullanıcıların ihtiyacı yoktur.
Simple Mail Transfer Protocol (SMTP): Masaüstü bilgisayarlar e-posta sunucusu olarak kullanılmamalıdır. ISS paketi ile gelen bu özellik kapatılmalı, hatta tamamen kaldırılmalıdır.
Simple Network Management Protocol (SNMP) Service: Ağ cihazların uzaktan erişim ile yönetilmesini sağlayan protokoldür. Ancak son zamanlarda birçok açığı ortaya çıkan bu protokolün, kullanmak zorunda olanlar dışında kapatılması önerilmektedir.
Simple Network Management Protocol (SNMP) Trap: SNMP servisinin iletişim kuracağı cihazda çalışması gereken servistir. Kullanılmıyorsa kapatılması önerilmektedir.
Telnet: Genelde masaüstü bilgisayarlarda varsayılan olarak aktif çalışır durumda olmayan servis ağ cihazların komut satırından uzaktan yönetilmesini sağlamaktadır. Ancak kullanıcı adı ve parola ikilisini ve diğer bilgileri düz metin olarak iletmesi nedeniyle önerilmemektedir.
World Wide Web Publishing Service: En çok saldırıya uğrayan ve en çok açığı olan Microsoft servisidir. Varsayılan olarak aktif çalışır olmayan servis masaüstü bilgisayarlardan tamamen kaldırılması önerilmektedir. Sunucu nitelikli bilgisayarlarda da daha gelişmiş web sunucular önerilmektedir.
Regedit (kayıt) dosyasında yapılacaklar:
Aşağıda yer alan değerler önerilen değerlerdir. Bu konuda daha geniş bilgi için SANS Security Baseline belgelerine bakılması önerilmektedir.
· HKLMSoftwareMicrosoftDrWatsonCreateCrachDump (REG_DWORD) 0
· HKLMSoftwareMicrosoftWindows NTCurrentVersionAEDebugAuto (REG_DWORD) 0
· HKLMSoftwareMicrosoftWindowsCurrentVersionPolicies ExplorerNoDriveTypeAutoRun (REG_DWORD) 255
· HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogonAutoAdminLogon (REG_DWORD) 0
· HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogonDontDisplayLastUserName (REG_SZ) 1
· HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogonSFCDisable (REG_DWORD) 4
· HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogonSFCDScan (REG_DWORD) 1
· HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogonSFCShowProgress (REG_DWORD) 0
· HKLMSystemCurrentControlSetControlCrashControlAuto Reboot (REG_DWORD) 0
· HKLMSystemCurrentControlSetServicesCDromAutoRun (REG_DWORD) 0
· HKLMSystemCurrentControlSetServicesLanmanServerPar ametersAutoShareWks (REG_DWORD) 0
· HKLMSystemCurrentControlSetServicesMrxSmbParameter sRefuseReset (REG_DWORD) 1
· HKLMSystemCurrentControlSetServicesTcpipParameters DisableIPSoureceRouting (REG_DWORD) 2
· HKLMSystemCurrentControlSetServicesTcpipParameters EnableDeadGWDetect (REG_DWORD) 0
· HKLMSystemCurrentControlSetServicesTcpipParameters EnableICMPRedirect (REG_DWORD) 0
· HKLMSystemCurrentControlSetServicesTcpipParameters EnablePMTUDiscovery (REG_DWORD) 1
· HKLMSystemCurrentControlSetServicesTcpipParameters KeepAliveTime (REG_DWORD) 300000
· HKLMSystemCurrentControlSetServicesTcpipParameters PerformRouterDiscovery (REG_DWORD) 0
· HKLMSystemCurrentControlSetServicesTcpipParameters SynAttackProtect (REG_DWORD) 2
· HKLMSystemCurrentControlSetServicesTcpipParameters TcpMaxHalfOpen (REG_DWORD) 100
· HKLMSystemCurrentControlSetServicesTcpipParameters TcpMaxHalfOpenRetired (REG_DWORD) 80
· HKLMSystemCurrentControlSetServicesNetbtParameters NonameReleaseOnDemand (REG_DWORD) 1
· HKLMSystemCurrentControlSetServicesIPSECNoDefaultE xpemt (REG_DWORD) 1
EFS (Encrypted File System):
Şu ana kadar ağ üzerinden gelebilecek saldırılara karşı birçok önlem hakkında bilgi verildi. Bu bölümde ise bilgisayarın başına oturacak kötü niyetli kişilerden bilgisayardaki verileri korumak için yapılabileceklerden bahsedeceğiz.
EFS dosyaların şifrelenmiş olarak sabit diskte saklanmasını sağlayan WindowsXP işletim sistemlerinde bulunan bir özelliktir. Public key şifreleme sistemine göre çalışan mekanizmada yönetici haklarına sahip olmak şart değildir. EFS kullanılarak dizin şifrelemek için kullanıcı kendi sertifikalarından ya da Windows XP tarafından o anda oluşturulacak sertifikadan yararlanabilir. Şifrelenmiş dizin içindeki alt dizinlerde bulunan dosyalar ve dizine kopyalanacak dosyalar da aynı anahtarla şifrelenir (EFS işlemleri dizin bazında yapılabilir). Dizini şifrelemek için kullanıcının dizinin \"Özellikler\" (Properties) kısmından \"Gelişmiş\" (Advanced) düğmesine basarak ulaşacağı pencerede “Veri korumak için içeriği şifrele” seçeneğini işaretlemesi gerekmektedir.
Şifrelenmiş dizine sadece şifreleyen kullanıcı ve varsayılan olarak yöneticinin üyesi olduğu bilgi kurtarma ajanları ulaşabilir. Kullanıcı profilinin bozulması, yönetici tarafından kullanıcı parolasının değiştirilmesi ve kullanıcıya ulaşılamayacak anda oluşan acil durumda, bilgi kurtarma ajanları şifrelenmiş dizine erişebilir.
SRP (Software Restriction Policies):
Yöneticinin bir domain’de ya da masaüstü bilgisayarda hangi programların çalışmasına izin vereceğini belirlemeye yarayan Windows XP işletim sistemi özelliklerinden birisidir.
·SRP kurallarına \"Yerel Güvenlik İlkesi\" (Local Security Policy) içinden ulaşılır. Poliçenin varsayılan kuralı \"unresticted\" (kısıtlamasız) olarak belirlenmiştir (her programın çalışmasına izin verir). Yönetici, yaklaşımına göre poliçeyi \"disallow\" (izin verilmeyen) olarak değiştirebilir. SRP’de iki yaklaşım içinde program çalıştırılması kontrol edilir:
1. Sadece güvenilir kodların çalışması: Tüm güvenilir programlar ve onların ilintili olduğu program parçacıklarının belirlenebildiği durumlarda uygulanan yöntemdir. Genelde;
· İş istasyonları
· Uygulama noktası PC’leri
· Kiosk PC’ler
amacıyla hazırlanmış bilgisayarlarda uygulanacak yöntemdir. Örneğin bir yönetici sadece Internet Explorer programının çalışmasına izin verebilir, bu durumda kullanıcı, bilgisayarda başka bir program çalıştırmayı denediğinde, izini olmadığına dair bir mesaj alacaktır.
2. İstenmeyen kodların çalıştırılmaması: Yönetici tarafından kısıtlanması gerekmeyen bilgisayarlarda istenmeyen programların çalışmasını engellemek amacıyla uygulanacak politikadır. Örneğin dosya paylaşım programlarının kullanımını istemeyen bir yönetici bunu poliçeler ile tanımlayabilir.
Yazılım tanımlama kuralları:
1. Karam (Hash) kuralı: Yazılımın dijital parmak izine bakılarak tanımlama yapılır. Çalıştırılabilir dosya başka bir dizine de taşınsa yöneticinin belirlediği kurallara bağlı kalacaktır.
2. Yol (Path) kuralı: Yazılımın dizin yapılanmasındaki konumuna göre belirlenen kuraldır. Çalıştırılabilir dosya başka bir dizine taşındığında kural geçersizdir.
3. Sertifika kuralı: Yayımcısının sertifikasına bağlı olarak belirlenen kuraldır. Çalıştırılabilir dosya bulunduğu dizinden bağımsızdır.
4. Alan (zone) kuralı: Internet üzerinde hangi alandan (Internet, yerel ağ, güvenilir siteler, yasak siteler) geldiğine bağlı olarak belirlenen kuraldır.
Kurallar belirlenirken dikkat edilecek noktalardan birisi belirtilen program çalışırken arkada başka program parçacıkları ile ilintili işler yapıp yapmadığıdır. Kullanıcıya sadece belirili programlar kullanımına izin verildiği durumda daha çok önem kazanmaktadır. Test aşamasında msinfo.exe programı ile çalışan görevler takip edilir ve uygun olanlar hakkında kurallar belirlenir.
kaynak:http://antivirus.nigde.edu.tr/index.php?option=content&task=view&id=30&Itemid=36
Saygılarımla...
Güvenlik Duvarları (Firewall)
Şirketlerin önemli ve hassas verilerini internet, intranet ve extranet gibi ortamlarda saklamaları kurumsal veri güvenliğini tehdit eden önemli bir faktördür.
Yakın bir zamanda yapılan bir araştırmada (FBI/CSC Bilgisayar Suçları ve Güvenlik Kurumu), güvenlik deliklerinin çoğunun yerel ağlarda olduğu saptanmıştır. Firewall (Güvenlik duvarı) gibi uygulamalar kurumların verileri için dış etkenlere karşı bir koruma oluşturmasına rağmen ilave güvenlik katmanlarına gereksinim duyulacaktır.
Intel, IETF ( Internet Engineering Task Force) tarafından bir standart olarak kabul edilen IPSec (Internet Protokol Güvenliği) protokolünü destekleyen ağ yapı taşlarını sağlamaya başladı. IPSec, sadece güvenilir ve yetkilendirilmiş sistemlerin hassas ve önemli verilere ulaşabilmesini ağ katmanında sağlayabilen bir protokoldür.
Internet sanal ortamda şirketlerin ulaşabildiği müşteri sayısını arttırarak işlem hacimlerinin büyümelerine katkıda bulunduğu gibi bir takım güvenlik problemlerini de beraberinde getirmektedir. Geleneksel ortamda kurumlar, kiralık hatlar veya farklı ortamlar ile kapalı sistem denen iletişim hatları ve ortamları kullanırlar. Günümüzde herkesin verilere erişebildiği daha açık sistemler “Sanal Ağlar”ın kullanımının arttığını gözlemlemekteyiz. Bu yeni model tedarikçi ve müşterilerin aynı ağ üzerinde birlikte çalışabildiği “extranet\"lerin gelişmesi ile ortaya çıkmıştır. Extranet, kurumun kapitalini ve hassas verilerini internet ortamına koymasını gerektirir. Teorik olarak bu önemli veri herkes tarafından ulaşılabilecek bir ortamda durmaktadır.
Kurumların veri iletimi için internet ortamını seçmelerinin diğer bir nedeni ise kiralık hatlar gibi uçtan uca bağlantılara göre çok daha ekonomik olmasıdır. Çok daha fazla verinin extranet’ler aracılığı ile şirketlere açıldığı gibi bu veriler aynı yerel ağ üzerinde bulunan diğer çalışanların daha rahat ulaşabileceği ortamda bulunması göz ardı edilmemelidir. Güvenlik sorunları, hacker’lar gibi kasten veriyi çalmak, ele geçirmek için kullanılan şahıslar tarafından meydana gelebilir ya da ağa erişim hakkı bulunan ve kurumun kuralları ve prosedürlerinden haberi olmayan yetkili kullanıcıların yapabileceği hatalardan oluşabilir.
Güvenilir Sanal Ağlar
WEB üzerinden satış ve ticaret yapmak, diğer şirketler ile elektronik ortamda iletişim şirketimizin büyümesine katkıda bulunacaktır. Kapalı sistemlerde sadece çalışanlar arasında veri iletişimi gündemde iken, internet ve web gibi açık sistemlerde dünyaya açılıyoruz. Aşağıdaki örnekler, neden güvenilir bir ağa gereksinimiz olduğunu daha iyi açıklayacaktır.
<LI class=Msonormal style=\"MARGIN: 0cm 0cm 0pt\">İki farklı şirket düşünün. Bu şirketler yüksek teknolojiyi kullanıyorlar ve yeni bir ürünün piyasaya çıkartılması konusunda beraber çalışıyorlar. Ortak çalışabilmeleri için her şirket, hassas verilerinin diğer şirket tarafından kullanılmasına izin vermek durumundadır. Şirketler nasıl birbirlerine verinin tehlikeye girmeyeceği, veya yetkisiz bir personelin eline geçmeyeceği konusunda garanti verebilir? <LI class=Msonormal style=\"MARGIN: 0cm 0cm 0pt\">Günümüzde sözleşmeli veya geçici personel alımına talep artmaktadır. Şirketler, önemli verilerinin kısa dönemli çalıştırılacak olan personelden nasıl koruyabilir?
Bir tedarikçi şirket düşünün ve bu şirket başka bir şirketin sadece üretim planlama sunucusuna bağlanabilme yetkisi verilmiş olsun. Bu sunucuda kendi ağlarındaki diğer sunuculara bağlı. Üretim planlama sunucusunu tedarikçi firmaya yetkilendiren şirket, tedarikçi şirketteki kullanıcıların üretim planlama sunucunu ağlarına bağlanmak için bir geçiş kapısı olarak kullanmalarını nasıl engelleyebilir?
Yukardaki örneklerde, önemli verinin karşılaştığı tehditler hep ağ güvenlik duvarının içindedir. Veri kaynağında, yani LAN içinde öncelikle korunmalıdır. WAN üzerinde güvenli iletişimde “Sanal ve Özel Ağlar” deyimini kullanıyorduk. LAN içinde de güvenli iletişim “Güvenilir Sanal Ağ” olarak adlandırılacaktır.
Yeni Bir Güvenlik Modeline Gereksinim
Güvenlik çözümlerinden biri, firewall (güvenlik duvarı) uygulamaları aktif olarak kullanılmaktadır. Firewall uygulamaları, kurumun elektronik kaynaklarına erişimi, IP paketlerine filtrelemeler ve kısıtlamalar getirerek kontrol eder. Fakat bu uygulamalar sadece dış tehditleri düşünmektedir. Bir alışveriş merkezinde, sadece kapıya bir güvenlik görevlisi koymak yeterli midir? Kameralar, hareketi algılayan özel donanımlar gibi ilave donanımlar ile iç güvenlik arttırılmalıdır
Bu dökümanın sonuna geldiğinizde, internet üzerinde kişisel güvenliğinizin sağlanması ile ilgili başlıca konular hakkında bilginiz olacak.
Çok tecrübeli olmayan kullanıcılar için bilginin tamamı biraz fazla gelse de, sabırlı olundukça işin o kadar karmaşık olmadığnı göreceksiniz. Herşeyden önce gözünüz korkmasın, hiç bir şey bir günde öğrenilmiyor. Basit bilgilerle başlıyoruz. Sonra detaylara ineceğiz.
Başlayalım:
Firewall:
Çift taraflı, yani hem gelen hem giden trafiği kontrol eden, bu tip bir trafik tesbit edildiğinde izninizi soran iyi bir firewall kullanmakta fayda var.
Firewall’un ayırca, bilgi transferi yapmak için, belli portlara saldırı yapan kişilerden sizi iyice saklaması gerekiyor.
Firewall’larınızı yapılandırırken, en yüksek güvenlik seviyesini seçin, bilgisayarınızdaki her programın çalışması için firewall’dan bilgi alacak şekilde ayar alın. Bu programları sık sık kullansanız bile, çalıştırılmak üzere olan bir program hakkında şüphe duyduğunuzda, izin vermeyin.
Başka bir şey yapmasanız bile, en azından kişisel bir güvenlik duvarına ihtiyacınız var.
İyi bir antivirus koruma + Firewall ise Internet güvenliği icin en başta gelen meseledir. Windows XP kullanıcıları için, şunu akılda tutmakta fayda var.
XP nin Internet Connection Firewall ( ICS ) si sadece iç trafiği kontrol eder, Dışarı giden trafiği tesbit etmez. Bunun için çift taraflı bir firewall kullanmakta fayda var.
Firewall’lar sadece antiviruslerle birlikte kullanılmaz.
Bunun yanısıra, Icerik Filtreleri, Anti-Trojanlar, Proxy’ler, PortScanner’larla birlikte kullanılabilir. Bazı Firewallar bu tip programlarla birleştirilmiş ve Suite şeklini almıştır.
Bazıları ise tek olarak piyasaya sürülürler.
Anti-Virüs:
Antivirüs kullanmamız gerekiyor.
En azından haftada bir kez virüs data dosyalarımızı güncellememiz lazım. Bunun yanısıra, Tarama yaparkan \"Heuristic\" veya \"Bloodhound\" özelliğine aktif hale getirmekte fayda var. ( Bu özellikler, henüz tesbit edilmeşi veya tanımlanmamış virüs-gibi-hareket eden davranışları tesbit ediyor. )
Eğer antivirüs’ünüzün ActiveX Control ve Java Classları tarama opsiyonu varsa, bunu da kullanmak cok önemli. Daha sıkı bir güvenlik için ve tarama opsiyonları için, iyi bir virüs scanner ile trojan scanner’ini birlikte kullanmak çok öneriliyor.
Virus Scannerlar - Özet Bilgi
Antivirus veya Antiviris/AntiTrojan programlarını sisteminize kurmak, belki de yapacağınız en basit işlerden biri.
Programlar herhangi bir virüs tesbit ettiğinde, dosyayı, Karantinaya alır, böylece dosyayı silmeden veya başka bir programa bulaşmadan inceleme fırsatı bulabilirsiniz.
Antivirüs programlarının ayarları basittir ve virus data dosyalarını veya kurallarını güncellediğiniz muddetce ( sadece antivirus tanımlamaları değil, bunun yanısıra arama motoru patchlerini, programla ilgili tüm güncellemeleri yapmakta daha cok fayda var. ) sorun yaşamazsınız.
Daha önce belirtildiiği üzere İyi bir Güvenlik Duvarı ve Antivirüs koruma, Internet Güvenliğinin birinci kuralıdır.
Hangi programı kullanırsanız kullanın, programın, bütün indirdiğiniz dosyaları, e mail eklentilerini taradığından emin olun.
Antivirus tarama özelliklerinden \"Heuristic\" veya \"Bloodhound\" özelliğini mutlaka akitf hale getirin. Eğer antivirüsünüzün ActiveX Control ve Java Classlar için tarama opsiyonu varsa bunu da kullanın.
Kullandığınız programla, mümkünse Temiz Boot diskleri yaratın, günün birinde işinize yarayabilir.
Trojan Tarayıcılar - Özet Bilgi
Trojan atları diye bilinen trojanlar, masum programlar gibi gözüküp sistemde saklanan ve daha cok e mail eklentileri veya internetten indirilen dosyalarlar birlikte gelmektedir.
Bilindiği üzere, trojanlar calismaya basladiginda, kendilerini cesitli yerlere yerlestirir ve bilgisayarınızı kapatıp actiginizda, görevlerini yapmaya baslarlar.
Bazı Antivirus programlar, trojanları tesbit edebiliyor olsa da, her zaman çok daha yoğun bir Trojan Atı Koruma ve Opsiyonları sunan ayrı Trojan Tarama programları kullanmak çok önemlidir. Bu programlar daha çok antiviruslerle birlikte kullanılmak üzere tasarlanmıştır.
Birçok anti-trojan programı, antivirus programı gibi sistemde, gercek zamanlı olarak calısır. Eğer iki gercek zamanlı calisan bir trojan programı ve antivirus arasında bir cakısma yasanırsa, ( zaman zaman bu olabilir.- özellikle antivirus programınız, dosyalar kullanılmaya baslandığında dosyayı taramaya ayarlı ise... ) bu durumda anti-trojanın aktive scan özelliğini kapatmakta fayda vardır.
Antivirüs ün gercek zamanlı özelliğini her zaman açık olmalıdır.
Dosya ve Dosya Paylaşımını Kapatma:
Eğer, Yerel Ağ Bağlantısına bağllı olmayan bir bilgisayar kullaniyorsanız, network ayarlarınızdan, dosya ve yazıcı paylaşımını kapatın. Bu işlem NETBIOS portlarınızın tamamını devre dışı bırakacaktır. Bir Router veya güvenlik duvarı kullanıyor olsanız bile, bu tip bir işlem, size ekstra koruma sağlar.
P-2-P Güvenliği:
P2P Programlarını kullanırken, Internet üzerinde paylaştığınız dosyalar konusunda dikkatli olun. Sözkonusu servisleri ayarlarını yaparken, sadece izin verdiğiniz klasördeki programın paylaşıma ayarlanmış olduğuna çok dikkat edin. Ve Antivirüs’ünüz her zaman aktif olsun.
Messenger Güvenliği:
Kullandığınız Messenger Programını Güvenli hale getirin. AOL, ICQ, MSN, Yahoo Mesajlarını, bir IM sifreleme programı ile güvenlik altına alın. Sifreleme işi, her iki taraftan kullanılırsa o zaman etkili olacaktır.
Messenger programlarındaki , dosya transfer özelliğini kaldırın. Çünkü bu özellik, tahmin ettiğinizden fazla bir şekilde paylaşmak istemediğiniz durumları açık hale getirebilir. AOL; Net Messenger vs gibi programların Secenekler Tercihler menulerinden bu özelliği devre dışı bırakabilirsiniz.
Eğer biri size bir dosya yollamak istiyorsa, ya scan edebileceğiniz bir e mail adresine isteyin, ya da dosyanın belli bir yere upload edilmesini isteyin.
IP Adresiniz:
Ip Adresinizi bilin. Eğer internet bağlantınızın ip adresini ve kullandığınız yerel ağın ip aralıklarını bilirseniz, dışardan biri sisteminize girmeye kalktığında bunu tesbit etmeniz kolaylaşır.
Kayıt Defterinizi Koruyun:
Kayıt Defterini korumak için, Kayıt Defteri Koruyucu programlar kullanabilirsiniz. Özellikle sisteme yeni giren trojanlar genellikle, başlangıç dosyalarına ve kayıt defterine kendilerini kopyalarlar. Bir sonraki bilgisayarı açtığınız zaman, eğer kayıt defterinizde bu tip bir zararlı tarafından değişiklik yapılmış ise, Kayıt Defteri Koruyucu program sizi uyarır. Ayrıca bu tip bir program, yeni programları kurarken kullanıcıya son derece faydalı bilgiler sunar.
Ev Bilgisayarlarınızı Güvenlik Altına Almak( DÖKÜMAN ) /2
Dosyaları Çalıştırırken Dikkat :
Hiçbir zaman indirmekte uyguladığınız dosya kaydedip incelemeden direct olarak çalıştırmayın. Özellikle sonu, .exe, .bat, .vbs ve .com uzantılı dosyalarda dikkatli olun. Otomatik çalıştırma yerine, kaydedin, belli programlarla tarayın ondan sonra çalıştırın.
ActiveX ve Java Class:
Güvenliği olmayan, emin olmadığınız sitelerden asla ActiveX Control veya Java Class önerilerini kabul edip çalıştırmayın. En iyisi, tarayıcınızı, size bunlarla ilgili onay istemesini sağlayacak şekilde ayarlamak. Aksi takdirde, sadece zararlı bir yazılımın kurulmasına değil aynı zamanda tarayıcınızın ayarlarının değişmesine ve ana sayfa adresinin değişmesine çanak tutarsınız.
Eğer Internet Explorer kullanıyorsanız, bu ayarlar, Denetim Masası, Internet Seçenekleri, Güvenlik, Internet altında bulunur. Mozilla, Opera ve Netscape kullanıcıları default olarak Custom Seviyede uyarılırlar.
Tarayıcının Ayarlarının Değişmesi:
Bazı durumlarda, tarayıcınızın default olan başlangıç ve arama sayfaları bazı zararlı kodlar içeren web siteleri ve progr*****lar tarafından değiştirilirler.
Her zaman tarayacı ayarlarınızı, sizden onay alması şeklinde ayarlamakta fayda var.
Bu durum en çok, Internet Explorer kullanan kullanıcılarda, bazı sitelerde, sözkonusu ActiveX kontrollerinin, plug inlerin kurulmasına izin verilmesi, bazı internet ayarlarının aktif hale getirilmesi ile ilgili pop uplara izin verilmesi şeklinde gerçekleşir.
Bu tip progr*****lar çeşitli şekillerde bilgisayarınıza girebilir. Bu durum bir fareyle bir yere ya da siteyi dolaşırken bilmeden, bilmediginiz bir linke tıklamanız sonucu da oluşabilir. Bazı durumlarda, internet kısayolları, Sık kullanılanlara bile otomatik olarak eklenebilir.
Istendiğinde Yükleme Özelliği ( Install on Demand )
Internet Explorer kullanıyorsanız, \"Istendiğinde Yukleme Özelliğini Etkinlestir\" bölümü ayarlarda işaretli olmasın. Böylece Explorer sayfanın görüntülenme işlemi ile ilgili ekstradan bir şey yüklemesi gerekiyorsa kullanıcıya soracaktır.
Istendiginde Yukleme Özelligi Etkinlestir Opsiyonu, Denetim Masası Internet Secenekleri-Gelişmiş te bulunmaktadır.
JavaScript’e Dikkat !
Javascript, internette dolaşırken problem olmasa da, e mail için etkin hale getirildiğinde tehlike yaratabiliyor. Birçok internet kullanıcısı, tarayıcılarındaki her şey için Javascript i devre dışı bırakmakta.
Çok geniş kulllanımı olan internet programlama dili Java Script’ten bu kadar korkulmasının sebebi, E mail ve Taraycılarda ( Başta Internet Explorer ve Outlook olmak üzere ) ki güvenlik deliklerinin son zamanlarda sık sık keşfedilmesi.
Doğrusunu söylemek gerekirse, Microsoft da, ilk defa duyuracağı bir açık için, kullanıcılara hemen JavaScript’i devre dışı bırakmalarını öneriyor.
Bu metod, sözkonusu açıkla ilgili yama eklenene kadar, devre dısı bırakarak bir parça işe yarasa da, Script işleminin, ne yapabildiği ve ne yapamadığı hakkında mantılkı bir şey sunmuyor.
Belli açıklar hem program için risk teşkil ettiği için, sözkonusu açıklarla ilgili yama ve patchler uygulanmadığı muddetçe, bu tehlike devam etmeye mahkum. Yine de korunmasız bir sistemde bilgisayarınız Javascript sayesinde belli zararlıları içeri sokabiliyor.
JavaScript in nasıl çalıştığını anlamaya çalışmanın bir yolu, nasıl kullanıldığı.
JavaScript, Web Tarayıcısının görüntüsünü ve İçeriğini Kontrol Edebilir. Yeni Pencereler açabilir. HTML sayfaları dinamik olarak görüntüleyebilir, yeni sitelere linkler açabilir, pop up lar oluşturabilir. kullanıcının ileri geri sayfalarına gelip gidebilir, cookieleri ayarlayıp okuyabilir.
Buna ek olarak, JavaScript .belli Java Appletlerine ve Tarayıcının belli eklentilerini etkiler.
Pop up reklamlar, istenmeyen cookieler, ekstra bilgileri veren linkler arzu edilmese de, javascript sonuc olarak, ziyaret ettiğiniz sayfanın görüntüsünü ve performansını zenginleştirmekte.
Javascript’i devre dışı bıraktığınızda, ziyaret etmekte olduğunuz sayfanın web deneyimini tam olarak yaşayamazsınız.
Evet, scriptler sorun yaratabilir. Tarayıcınızın versiyonunu kontrol ederler, IP adresinize, cookilerinize bakarlar, önerici adresleri kaydederler vs.. yine de Javascript’i tamamen devre dısı bırakmaktan daha iyi yollar mevcuttur.
Bunu şöyle düşünmek lazım. Tarayıcınızın versiyonunun bilinmesi, sizin o versiyonla en iyi görüntülenebilecek sayfalara yönlendirilmeniz demektir.
IP adresiniz zaten internette dolaşırken sır değil ve her halukarda bir IP adresiyle dolaşmak zorundasınız. Ayrıca Javascript i devre dışı bırakmakla IP adresinizi tamamen gizlemis sayılmıyorsunuz. Cookie’ler, Reklam bannerları, pop up pencerelerine gelince ise, bunlar daha cok cookie/icerik filtreleri ile kontrol edilebilir.
Eğer, IP adresinizi tamamen gizli tutmak sizin icin cok önemil ise, bunun icin kimi paralı kimi ucretsiz cesitli servisler mevcuttur.
\"Anonymizer\" diye tabir edilen araçlar, proxy şeklinde kullanıp, sizinle internet arasında ortada yeralıp, ip adresinizi gizleyebilir.
Tabi ki şunu belirtmek gerekir ki, bazı sayfaları görüntülemek için proxy yi kaldırmak da gerekebilir. Örnek olarak Online Bankacılık siteleri.
Ve şunu da unutmamak lazım, Bu tip servisler size % 100 garanti sağlamaz. Bunun dışında bu araçlar da sizin ziyaret ettiğiniz sitelerin bir kaydını tutarlar.
Bilgisayara Yapılan Saldırılar:
Gerçek : Bilgisayarınızdaki dosyaları okuyan, değiştiren, ağ ayarlarınızla oynayan JavaScript’in kendisi değildir.
Javascript kendi başına asla bir tehdit oluşturmaz.
Tehdit, Javascript kullanılarak başka işlemlerin çalışmaya başlamasıdır. Bu da nedir ? ActiveX Control ya da Java Class dosyası şekli altında, aktif veya çalıştırılabilir bir içeriğin bilgisayarınıza yerleştirilmesidir.
Bunlar kuçuk progr*****lar olup plug-in gibidirler. Bilgisayara yüklenip, otomatik olarak bir programı yükleme ya da güncelleme gibi olayları başlatabilir. Bu kucuk progr*****ların sisteminize girebilmesi icin, hepsinin sistem onayını alması gerekir. Ya cok güvendiğiniz bir siteden girerler, ya da tarayıcınızın sordugu bir soruya evet demekle.
Eğer korumalarınız aktif değilse, bazı zararlılar sisteme rahatlıkla girer. Burada JavaScript’in aktif ya da değil olması önemli değildir.
Trojan, Saldırı çeşitlerinin en şiddetlilerinden sayılır.
Genel olarak, masum programlar gibi saklanırlar, e mail eklentileri veya indirdiğiniz programların icinde gelirler. Bu konuyu burada tekrar bahsediyoruz;
Trojanlar, JavaScript hangi durumda olursa olsun sisteme girebilir. Burada trojana karşı koyabileceğiniz tek savunma, iyi bir antivirus, iyi bir trojan scanner ve guclu bir firewall’dur.
Tabi ki bilgisayarınızda izniniz dışında bir programın çalıştırılmasına da musaade etmemeniz gerekir. Unutmayın ki, Javascript’in bilgisayarına zarar verebilecek bir programı sisteminize sokmaya izin vermedigeniz muddetce bir sorun cıkmaz.
Ev Bilgisayarlarınızı Güvenlik Altına Almak ( DÖKÜMAN ) /3
Basit JavaScript Kuralları:
Asla, E-mail ve eklentileri için Javascript’i aktif hale getirmeyin.
Javascript, internette dolaşırken gerekli olabilmesine rağmen, e-mailler için tehlikeli olabilir. E-Mail programlarında JavaScript’in nasıl devre dışı bırakılacağı ile ilgili adımları tek tek uygulayın.
Hiçbir zaman, çok güvenli olduğuna emin olmadıkça, E-mail programızın \"View Attachment Inline\"-Eklentiyi Otomatik Olarak Gösterme özelliğini aktif halde tutmayın.
Hiçbir zaman tanımadığınız kişilerden gelen e-mail eklentilerini direct olarak açmayın.
Özellikle, .exe, .bat, .vbs, ve .com uzantılı dosyaları indirirken dikkatli olun. Hiçbir zaman indirilir indirilmez programların kendi kendilerini kurmalarına izin ermeyin.
Tanıdığınız ve güvenli bulduğunuz yerler haricinde, hiç bir siteden ActiveXControl veya Java Class yüklemelerini kabul etmeyin. En iyisi, tarayıcınızı sizi bu konuda uyarmak üzere ayarlamak olacaktır. Bu ayarlar, Internet Explorer altındadır. Denetim Masası, Internet Seçenekleri, Güvenlik - Internet- Custom Level ( Kullanıcı Seviyesi )’nden bu ayarlara ulaşabilirsiniz. Mozilla, Opera ve Netscape Kullanıcıları, bununla ilgili default olarak uyarılırlar.
Eğer Internet Explorer kullanıyorsanız, \"Install On Demand\"-Istendiğinde Yükleme Özelliğini devre dışı bırakın. Böylece tarayıcınız, belli bir içeriğin görüntülenmesi için gereken ekstra bir özellik varsa, bunun yüklenip yüklenmemesini size soracaktır. Bu ayar da, Windows XP’de, Denetim Masası-Internet Seçenekleri-Gelişmiş ten görülebilir.
Güvenilir olmayan siteleri ziyaret etmekten kaçının. Veya zararlı siteleri ziyaret ederken dikkatli olun.
Yukarda daha önce bahsedildiği üzere, hem giden hem gelen trafiği kontrol edebilecek, çift yönlü bir firewall kullanın. Bu firewall’un sizi saldırılara karşı internette tamamen gizlemesi gerekir. Internet Zone ayarlarının güvenlik ayarlarını maksimumda tutmakta fayda var. Mümkünse her programın çalışması ile ilgili güvenlik duvarının sizi uyarmasını sağlayın. Sık kullandığınız programlar bile olsa. Eğer bir şüphe duyarsanız, sözkonusu programın kimliğini iyice incelemeden çalıştırmayın.
Antivirus kullanın ve tanımlamalarını, yamalarını düzenli olarak en az haftada bir gün yenileyin. Eğer antiviruslerinizde ActiveX Control ve Java Class’larını tarama opsiyonu mevcutsa, tarama yaparken bu opsiyonu mutlaka kullanın. Daha iyi bir koruma ve seçenek için iyi bir antivirüs programını, İyi bir Trojan Scanner ile birlikte kombine kullanmakta fayda var.
Internette ziyaret ettiğiniz sitelerle ilgili, bilgisayarınızdan ne tip bilgiler toplanabilir konusu ile ilgili, BrowserSpy’in web sitesini ziyaret edin. Oradaki testleri deneyin. JavaScript i aktif ve pasif olmak üzere testleri yapıp, sonuçları karşılaştırın. Böylelikle, JavaScriptlerin neler yapabileceği / yapamayacağı hakkında fikir edineceksiniz.
E-Mail Programlarında JavaScript’i Devre Dışı Bırakma:
Outlook:
1. Outlook’un Tools menusunden Options’ı seçin.
2. Options penceresinden Security sekmesine geçin.
3. Secure Content Bölümünde, Restricted Sites bölümünü seçin.
4. Zone Settings düğmesine basın.
5. Çıkan Pop Up ekranına Tamam deyin.
6. Security mesajında, Restricted Sites icon’unun seçili olduğundan emin olun.
7. Zone Güvenlik Ayarlarınızın en yüksek seviyede olduğuna emin olun.
8. Custom Level Düğmesine basın.
9. Security Settings penceresinde, Active Scripting girişine kadar gelin.
10.Active Scripting bölümünü Disable edin.
11. Security Settings bölümünde OK’e basın.
12. Security Penceresinde OK’e basın.
13. Options penceresinde OK’e basın.
Outlook için Not :
Bu işlemi yapmakla iki durum kontrol altına alınmakla.
Birincisi, E-mail programını, bütün ağ aktivitesinin Restricted bölümde yer alması için ayarlarını yapmış oluyoruz.
İkincisi, Restricted zone bölümünün default ayarlarını Active Scripting’i devre dışı bıracak şekilde ayarlamış oluyoruz. Sonuç olarak, E-mail programı, Active Scripting’i devre dışı bıraktığı için, Javascript yoluyla girebilecek herhangi bir exploit’i açmayacaktır.
Mozilla Mail Ayarı:
1. Menuden Edit’i seçiyoruz.
2. Menuden, Preferences’ı seçiyoruz.
3. Kategorilerden, Advanced’ı seçiyoruz.
4. Gelişmiş listeden Scripts & Windows’u seçiyoruz.
5. \"Enable JavaScript for\"’un altındaki \"Mail & Newsgroups\"un yanındaki kutunun işaretini kaldırıyoruz.
6. Önemli: \"Navigator\" bölümünü işaretli olarak bırakmamız, sadece tarayıcı ile ilgilidir. 5. Adımdaki opsiyon ise e mail ayarı ile ilgilidir.
7. Ayarları kaydetmek için OK’e basıyoruz ve Preferences penceresini kapatıyoruz.
8. Not: Netscape veya Outlook’un tersine, Mozilla’da bu seçenek zaten işaretsiz olarak gelmektedir. Ama güvenlik için bunu kontrol etmekte fayda var.
Mozilla Thunderbird Ayarı:
1. Menu’den Tools’u seçiyoruz.
2. Aşağı inen menuden Options’ı seçiyoruz.
3. Kategori listesinden Advanced’ı seçiyoruz.
4. Enable JavaScript in mail messages bölümünün yanındaki kutunun işaretini kaldırıyoruz.
5. Ayarları kaydetmek için OK’e basıp, Preferences penceresini kapatıyoruz.
6. Netscape veya Outlook’un tersine, Thunderbird’de bu opsiyon zaten işaretsiz olarak gelmektedir. Ama yine de güvenlik açısından kontrol etmekte fayda var.
Netscape Messenger Ayarı:
1. Menu bardan Edit’i seçiyoruz.
2. Aşağı inen menuden Preferences’ı seçiyoruz.
3. Kategori listesinden Advanced’ı seçiyoruz.
4. Enable JavaScript for Mail and News kutucuğunun işaretini kaldırıyoruz.
5. Önemli: Versiyon 4/7 Navigatorlarda, \"Enable JavaScript in Navigator\" özelliğinin akitf olması sadece tarayıcı için geçerlidir. 4. Adımda belirtilen ise e mail ayarı içindir.
6. Ayarları kaydetmek için, OK’e basıp, Preferences penceresini kapatıyoruz.
Eudora Ayarı:
1. Tools’a basıyoruz.
2. Options’a basıyoruz.
3. Viewing Mail’e basıyoruz.
4. Allow Executable in HTML content’in kutusunun işaretini kaldırıyoruz.
5. Netscape ve Outlook’un tersine, Eudora’da da, bu opsiyon, normal olarak işaretsiz gelir, ama güvenlik açısından birebir kontrol etmekte fayda var.
Ev Bilgisayarlarınızı Güvenlik Altına Almak( DÖKÜMAN ) /4
E-Mail Güvenliği:
HTML E-Mail
Kullandığınız E-mail programı eğer destekliyor ise, bütün e-mail mesajlarını HTML yerine sade text olarak görüntülemek daha güvenli. Daha çok güvenlik istiyorsanız, en iyisi E-mail İçerik Filtreleri Programlarını kullanmak. Zamanımızın, akıllıca kodlanmış tüm e-mail solucanları, HTML formatlı bir e-mailin açılmasıyla sisteme girebiliyor. Mozilla Mail ve Thunderbird’de, ana menuden View’e tıklayın. Message bOdy As’i seçin, ardından Plain Text’i seçin. Ayarın default olabilmesi için, Display Attachments Inline’ın yanındaki işareti kaldırın. Outlook’da ise, Security sekmesinden, Change Automatic Download Settings’i seçin ve Don’t Download Pictures or Other Content Automatically kutusunun işaretini kaldırın.
Eklentiler:
E mail Programınızın, View Attachment Inline özelliğini devre dışı bırakın.
Yabancı kişilerden gelen mail eklentilerini açmayın.
En özel mesajlarını yollamak için şifreleme programları kullanın. Unutmayın ki bu programlar mesajın bOdy kısmını şifreleyecektir. Mesaj konusu şifrelenmez.
Hiçbir zaman, bir mailde, kredi kartı numarası, banka hesap numarası veya sosyal güvenlik numarası gibi kişisel bilgilerinizi göndermeyin. İş için bu bilgileri şifreleyip karşı tarafa göndermiş olsanız bile, şifrelenmiş mesajın, açıldıktan sonra ne kadar güvenli olarak karşı tarafta kalacağı meçhuldur.
Hiçbir zaman, kişisel bilgiler soran e-mailleri cevaplamayın. Bu tip e maillerin çoğu, kredi kartı, banka hesap numarası ya da sosyal güvenlik numaralarınız gibi şahsi bilgileriniz çalmaya çalışan çoğu phishing scam maillerdir.
DİĞER GÜVENLİK TAVSİYELERİ:
İşletim sisteminizi ve tarayacınızı devamlı güncel tutun. Her yeni yama veya güncelleme yayınlandığında yükleyin.
Genel olarak sisteminizde, hangi uygulamaların hangi dosyaları çalıştığını öğrenin. Her uygulamanın direct internete çıkmasına izin vermeyin. Eğer şüphe taşıyorsanız, güvenlik duvarınızın devamlı sizi uyarmasını sağlayın.
Tarayacınızın, SSL özellikli ( Secure Socket Layer ) ve şifreleme özelliğinin yüksek ( 128 bit’ten az değil. ) olduğundan emin olun.
Aile üyeleri, kedi köpek isimleri, doğum günleri veya yıldönümleri gibi kolay tahmin edilebilecek şifreler kullanmaktan kaçının. Şifrelerinizi mumkun olduğu kadar çok basamaklı, küçük büyük harf ve rakamlarla karıştırın. Şifrelerinizi, bilgisayarda tek bir dosyada tutmayın. Mümkünse bir kağıda yazın. Eğer, tarayacınızın şifre yönetimi ile ilgili otomatik bir özelliği varsa, önemli şifreleri tarayıcının hatırlamasına izin vermeyin. Özellikle, iş yaptığınız online siteler ve banka sitelerinde.
Tanımadığınız sitelere güvenmeyin. Ya da dikkatli gezinin.
Casus-Yazılımlar:
Belli periyodlarla, harddiskinizde bulunabilecek, SpyWare, Adware, Keylogger, Spy Türü Modüller gibi zararlılara karşı, AntiCasus programları kullanıp tarama yapın.
Tanımlama:
\"Casus yazılım, kullanıcının haberi olmadan, sistemine sokulan, ve kullanıcının internetteki tüm aktivitesini, yine kullanıcının bilgisi dışında başka bir bilgisayara yollayan programdır.
Bu programlar vasıtasıyla, kullanıcının bilgisi dışında, profili ile ilgili bilgi toplanabilir ve bu bilgi ticari veya diğer amaçlar için kullanılabilir. Bu tip bilgiyi izinsiz toparlamak, almak ve dağıtmak, bilgisi dışında kullanıcının bilgisayarını ve internet ağını meşgul etmek tamamen artniyet göstergesidir.\"
Dick Hazeleger ( İlk Orijinal Spyware List’in kurucusu. )
Lan Güvenliği İçin Ek Bilgiler:
NAT Özellikli Router Kullanmak:
Eğer, sabit Ip adresi atanmış bir bağlantı, DSL, Cable vs gibi devamlı bağlı olduğunuz bir bağlantınız varsa, Yerel Ağ Bağlantısı olarak nitelendirilen LAN ile internet arasında bir Router kullanmakta fayda var. Eğer, Internet Servis Sağlayıcınız bunu desteklemiyorsa, değiştirmenizi öneriyoruz.
Router, kullanıcının iç ağ IPlerini, dış dünyaya maskelemek amacıyla Network Address Translation ( NAT ) kullanır. Bir hardware firewall ile kombine edilmiş bir router kullanmak her zaman daha güvenlidir.
Network Address Translation (NAT):
NAT, iki ağ arasında bir yorumcu gibidir. Ev ağını ele alırsak, NAT, WAN ( Wide Area Network veya Internet ) ile LAN ( Bilgisayarınızdaki Yerel Ağ Bağlantısı ) arasında yer almaktadır. Interneti, açık olan taraf ve bilgisayarınızın ağını, özel taraf kabul edersek, bilgisayar, özel bir taraftan, açık olan tarafa, bir data yollamak istedigi zaman, NAT devreye girer, o isteği, özel alandan alır değerlendirir, açık tarafa yollar. İki taraf arasında bir aracı görev üstlenir. Aynı şekilde açık alandan, bir yanıt datası geldiği zaman, yine NAT’tan süzülüp özel alana gelir.
ROUTERLAR:
Basit NAT araçları, gerçek firewall değillerdir. Yine de ev ağı kullanıcıları için yeterli güvenlik sağlayabilirler. Buna rağmen şunu akılda tutmakta fayda var. NAT araçları, DOS ( Denial Of Service ) Saldırılarını kullanan hackerlara karşı sizi koruyamazlar. Daha çok Smurf ve WinNuke Saldırılarına karşı işe yararlar. Bir NAT aracını, bir firewall programı ile birleştirir, iyi bir antivirüs programı ile de combine ederseniz, çoğu bilinen internet saldırılarıa karşı güvende olursunuz.
Hardware Firewallar:
Bazı NAT router’ların, Stateful Packet Inspection ( SPI ) diye tabir edilen ve Paket tarama özelliği bulunan hazır firewalları mevcuttur. Bu özellik, NAT aracının, Router üzerinden geçen datayı filtrelemesini sağlar. SPI terimi, basit NAT özelliğinden ziyade, daha cok portların ve adreslerin, packet data yapılarının incelenmesini de içeren filtrelemeler yapabilen routerları tanımlamak icin kullanılan bir terimdir. Her üretici değişik türde SPI kullanabilir. SPI Routerlar birbirine benzemeyebilir. Ama şunu söyleyebiliriz ki, SPI özelliği olan tüm routerlar, bu tip saldırıların loglarını tutabilirler.
TCP/IP Üzerinde Netbıos Portlarını Bocklamak:
Eğer, Yerel Ağ Bağlantısında dosya paylaşımınızı kullanmak ama dışardaki saldırılardan etkilenmek istemiyorsanız, TCP/IP üzerindeki NETBIOS portlarını kapatabilirsiniz. Bu iki şekilde yapılabilir.
1. Tercih Edilen Metod:
Kullandığınız firewall’unuz aracılığı ile, 135,137,139 ve 445 no’lu portlara giriş ve çıkışı blocklamak. ZoneAlarm, Internet Zone Security ayarları Yüksek olarak tutulduğunda, bu işi default olarak yapmaktadır.
2. Alternatif Metod.
TCP/IP üzerindeki NETBIOS’u elle devre dışı bırakmak. Bu metod daha çok ileri kullanıcıları ilgilendirmekle birlikte, son zamanlarda çıkan son model modem, router ve firewall’ların otomatik ayarları sebebiyle gereksiz gelebilir. Windows XP’nin bu tip işlemlere karşı çıkabilecek problemleri de gözardı etmemek gerekir.
Diğer Ev Güvenlik Tavsiyeleri:
Zaman zaman, modeminizin ışıklarını kontrol edin. PC’nizdeki tanıdık gibi gelmeyen belli logları gözden kaçırmayın. Bu tip davranışlar, PC’nizde casus tarzı bir yazılım olma ihtimalini arttırır.
Eğer kablosuz bir router kullanıyorsanız, WEP (Wired Equivalent Privacy ) özelliğini devreye mutlaka sokun.
Bilgisayar ağınızda bulunan her bilgisayar için ayrı bir kullanıcı adı ve sifre belirleyin. Ağ üzerinde paylasılacak klasörlerinizin yetkilerini iyi belirleyin.
Internete bağlı olduğunuzda, sizin icin cok önemli olan dosyaların emniyetini garanti altına alın. Hassas dosyaları, paylasabilir klasörlere koymamaya dikkat edin. En iyi tavsiye bu dosyaların bir CD üzerinde ya da kaldırılabilir bir medya üzerinde muhafaza edilmesidir. Başka bir opsiyon ise, bu tip dosyalarınızı, 3. parti bir güvenlik programı ile korumaktır. Bu tip programları seçerken, işletim sisteminizle uyumlu olmasına dikkat edin. Birçok dosya kitleme programı XP de kötü sonuclar doğurabilmektedir.
Unutmayacağımız bir konu da, bağlantıyı yapan bilgisayarımız tek bile olsa, onun bağlantısını kullanan ağ üzerindeki diğer bilgisayarların da aynı güvenlik önlemleri ile donatılmış olduğundan emin olun.
D33P & D@RK GÜVENLİK YAZILARI</STRONG></EM></U>
Sistem Açıkları Ve Çözümleri - 1
Sistem güvenligini saglama ve olasi aciklari bertaraf etmek icin kullandiginiz yapiya bazi noktalarda yamalar yapmak durumundasiniz.Default kurulum sonrasi servis paketlerini ve sonrasi cikan yamalari eklemek bile bazi noktalarda aciklari ve acik olarak gorulebilecek ve somurulecek hizmetleri kisitlamaya veya erisimleri kisitlamaya yetmeyebilir.Bu durumlarda sistem ici uygulamalar manual olarak kullanici tarafından kontrol edilmelidir.Basit regedit kisitlamalari,program erisim ve calisma noktalari ayarlari ,kurulumlari sirasinda olusabilecek bazi hatalar vs.. Bu dokuman da bu yontemlerin bazilarinin kullanimini ve sonuclarini paylasmak amaciyla yazilmistir.
// Tum ayarlar test edilmistir.Herhangi bir soruna mahal vermez.Olasi yanlis girislerinize karsi dikkatli olun, yedek alin
// Konularin belli bir siralanisi olmadigindan ayni icerik ileriki bolumlerde tekrar karsiniza cikabilir.
1- Port Kullanımı :
Portlarin mantigini kavrayan birisi baglanti noktalarinin ne denli onem tasidigina vakiftir.Listening durumda olan bir port,o port’a baglanmak icin yazilmis bir tojan icin guzel bir kapidir.
Port numaralari icin **** http://www.iana.org/assignments/port-numbers
Ilk kurulum sonrasi XP isletim sistemi SP2 ve sonrasi yamalar yuklu olsa dahi bazi portlarini acik olarak verecektir.Simdi sisteminizde C:\\netstat -an yazarak \"listening\" \"Syn_Sent\" \"Established\" durumlarina bakabilirsiniz.
Asagidaki ornek yapi uzerinden bazi islemler yapacagiz.
C:\\>netstat -an
Etkin Bağlantılar
İl.Kr. Yerel Adres Yabancı Adres Durum
1- TCP 0.0.0.0:1039 0.0.0.0:0 LISTENING
2- TCP 0.0.0.0:1040 0.0.0.0:0 LISTENING
3- TCP 10.0.0.3:1951 207.46.1.9:80 ESTABLISHED
4- TCP 10.0.0.3:1999 80.237.211.8:80 ESTABLISHED
5- TCP 10.0.0.3:1978 66.249.93.104:80 ESTABLISHED
6- TCP 10.0.0.3:1984 18.7.22.69:80 ESTABLISHED
7- TCP 10.0.0.3:1995 64.233.183.99:80 ESTABLISHED
8- TCP 10.0.0.3:1996 64.233.183.99:80 ESTABLISHED
9- TCP 10.0.0.3:1997 64.233.183.99:80 ESTABLISHED
10-TCP 127.0.0.1:1036 0.0.0.0:0 LISTENING
11-TCP 127.0.0.1:1067 127.0.0.1:1068 ESTABLISHED
12-TCP 127.0.0.1:1068 127.0.0.1:1067 ESTABLISHED
\"Listening\" = 1 nolu satirda sistemimize ait 1039 nolu port dinleme durumunda,Yabanci adresten gelecek baglanti istegini kabul edecek ve baglanti kurulacaktir.
\"Established\" = Kurulu olan mevcut baglantilarimizdir.Ornek olarak 4 nolu siraya bakabilirsiniz.Sistemime ait olan 10.0.0.3 ip adresim 1999 nolu portumu kullanarak yabanci adres olan 80.237.211.8 [CW] ile ona ait 80 nolu portla iletisim kurmus.
Birde sys_sent durumu vardır.Bu da bizim veya uzak pc nin baglanti kurma istegi gonderdigi anlamindadir.
Simdi sisteminde netstat -an sonucu acik olan portlarinizi nasil kapayacaginizi anlaticam.Sisteminizde bir firewall kurulu oldugunu varsayiyorum.Firewall ilk kurulumda genel portlari kapar ve sizin her islem yaptiginizda sorar baglanti istegine izin veriyormusun diye.Sizde politikanizi olusturur ve sureci isletirsiniz.Fakat genel olarak 135,137,138,139,445 vs portlariniz aciktir.Bu portlar en cok saldiri alan ilk 10 Port arasindadir ve Listening durumunda olduklari icin gelen baglanti istegini (Syn_Sent) kabul ederler.
Su sayfadaki portlara bir goz atin ve saldiri alan top portlari gorun ; http://isc.sans.org/top10.php
http://www.dshield.org/topports.html
Oncelikle 139 nolu port ile baslayalim.NetBıos yoluyla rahatlıkla size erişim saglarlar.1-2 populer oyuncakla bunlar kolaylikla yapilir.Yerel ag baglantisi\\Ozellikler\\Internet Iletisim kurallari(TCP/IP) ye cift tiklayin\\Gelismis\\WINS\\En altta devre disi biraki isaretleyin.
135 nolu port :Regediti acin.. HKLM\\Software\\Microsoft\\Ole.. Yan tarafta EnableDCOM verisini cift tiklayin ve icerisini N olarak degistirin.Bos alanda sag tiklayin.Yeni\\Dize degeri olusturun.Icerisine EnableRemoteConnect yazin,deger verisi olarak yine buyuk N yazin.
Bir üst basamakta RPC yi acin (HKLM\\Software\\Microsoft\\RPC) sag tarafta DCOM Protocols girdisini cift tiklayin ve ncacn_ip_tcp adli veriyi silin,digerlerine dokunmayin.
445 nolu port : HKLM\\System\\CurrentControlSet\\Services\\NerBT\\Param eters.. sag tarafta TransportBindName i cift tiklayin ve icerisindeki -Device- girdisini silin.
21,23,25,110 nolu portlar: Bunlarda açık varsa Firewall uzerinden rahatlikla kapayabilirsiniz.
Regedıt Acıklarını Kapama :
Sistemin tum isleyisinin bir nevi kontrol merkezidir regedit.Her islem onceden tanimlidir icerisinde ve islemler sistem kurulumunda bazi aciklari beraberinde getirir.Gereksiz baglanti,bildirim,erisim vs gibi kisimlar kullanilmadigi takdirde guvenlik alaninda aciklara sebep olacaktir.Şimdide default regedit/dizin erişim yollarinin onunu tikayarak sistemi bir nebze daha iyilestirecegiz
** Lamerlerin oyuncaklarina karsi savunma : DDos türevi baglanti istekleri gonderen kisinin bu hareketine karsi ;
HKLM\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Param eters
EnableICMPRedirect\"=dword:00000000
EnablePMTUDiscovery\"=dword:00000000
EnablePMTUBHDetect\"=dword:00000000
PerformRouterDiscovery\"=dword:00000000
EnableDeadGWDetect \"=dword:00000000
NonameReleaseOnDemand\"=dword:00000001
SynAttackProtect\"=dword:00000002
KeepAliveTime\"=dword:000493e0
TcpMaxHalfOpen\"=dword:00000064
TcpMaxHalfOpenRetried\"=dword:00000050
TcpMaxPortsExhausted\"=dword:00000005
TcpMaxConnectResponseRetransmissions\"=dword:000000 03
ayarlarini bu sekle getiriniz.Firewall kullanicilari eger dogru congiguration yaptiysaniz bunu sizin yerinize program otomatik olarak yapacaktır.
** Uzaktan yardimi kapatma :
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Contro l\\Terminal Server
fAllowToGetHelp\"=dword:00000000
fDenyTSConnections\"=dword:00000001
Bunun disinda uzaktan yardimin kullandigi portuda degistirebiliriz.Boylece istekler cevapsiz kalacaktir.
** Ag icinde olanlar icin erisim kisitlamalari :
-- Anonim kullanici erisimini sinirlar.Onune gelen sistemdeki dosyalarinizi goremez.
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Contro l\\Lsa]
restrictanonymous\"=dword:00000001
-- Ag Uzerindekilere paylasimi kapatir
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\Curre ntVersion\\Policies\\Explorer
NoRecentDocsNetHood\"=dword:00000001
Yonetim Konsolu Ayarları / Group Polıcy :
Bu konsoldan bilgisayara ve kullanicilarina ait erişim kısıtlamalarını ve düzenlemelerini yapabilirsiniz.Emın olmadiginiz kisimlara dokunmayin.Olasi sistem hatasi yanlis girisleriniz sonucu meydana gelebilir.
** Bilgisayar Yapılandirmasi/Windows Ayarlari/Guvenlik Ayarlari/Yerel Ilkeler/Kullanici Haklari Atamasi..
Bu kisimda erisim ilkeleri belirlenir.Daha once buralari degistirmemis arkadaslar emin olmadiklari kisimlari degistirmesinler!
Sag blokta nesnelere kimlerin erisebilecegi belirli default olarak.Bazi kisitlamalar yapmak gerek buradada.Ornek olarak ; Bu bilgisayara ag uzerinden erisime izin verme.. Uzaktaki bir sistemden oturum kapatmaya zorla.. Bu bilgisayara ag uzerinden erisime izin verme (LAN)
Bilgisayar Yapılandirmasi/Windows Ayarlari/Guvenlik Ayarlari/Yerel Ilkeler/Guvenlik Secenekleri..
Bir kac ornek veriyorum yine.Gerisini siz kendi politikaniza gore belirleyin.
Uzaktan erisilebilir kayit defteri yollari,
Adsiz kullanicilara everyone izinleri uygulansin,
Adsiz baglanabilecek Paylasimlar.
.......
** Bilgisayar Yapılandirmasi/Yonetim Sablonlari/Windows Bilesenleri.. Altta bulunan ara birimler icerisinde yapılandırma yapıcaz.
- NetMeeting evre dışı
- Internet Explorer :Internet Denetim Masasi/Guvenlik Sayfasi/Internet Bolgesi..
Not:Sadece bu ayarlarin hepsini yapmaniz durumunda actiginiz sayfalarda ***intilar yasayabilirsiniz.Login problemi,hareketli sayfalarin goruntulenmemesi vs.. Sayfa interaktifligini yitirir fakat hiç bir zararlininda yuklenmesine izin vermez.Yuksek onem arz eden girislerinizde bu ayarlari kullaniniz,iclerinde uygun olani belirleyin.
Sag tarafta bulunan Java: Devre Dışı,
Imzasiz AktiveX Yuklemnemsi evre Dışı
Aktivex Denetimlerini ve eklentilerini çalıştır evre dışı
Java Progr*****larinin Calistirilmasi : Devre Dışı
...... Sayfadan uygun olanlari seçin.
- Terminal Hizmetleri : Terminal hizmetleriyle kullanıcıların baglanabilirligi evre Dışı
Sadece bu ayari yapmaniz yeterli.Digerleri erisim izni olmadigindan zaten gecersiz kalir.
** Bilgisayar Yapışandirmasi/Yonetim Sablonlari/Sistem/...
Uzaktan Yardim :Ikisinide devre disi yapin
Uzaktan Yordam Çagrisi (RPC) : Devre Disi
Internet Iletisim Yonetimi : Internet iletisimini kisitlayi etkin yaparak bir ustteki klasore giriyoruz.Klasorun iceriginin tamaminin ETKIN oldugunu goreceksiniz.Isteginize gore kapayip acabilirsiniz.
** Bilgisayar Yapışandirmasi/Yonetim Sablonlari/Ag/Windows Guvenlik Duvari/Etki Alani Profili..
XP nin dahili firewallinida kullanan icin :Yapilandirmalarin aciklama kisimlarini okuyarak etkinlestirebilir veya kapayabilirsiniz.
Tum ag baglantilarimi Koru: Etkin
Uzak masa Ustu Ozel Durumuna Izın Ver: Devre Disi
Dosya ve yazici paylasimi ozel durumlarina izin verevre Dısi
Uzaktan Yonetim Ozel durumuna izin ver evre Disi
........
Ayarlarinizin tamamini kontrol edin.Bu ayarlar etki alani icerisinde gerceklesir.Bir altta Standart profil kisminada ayni secenekleri secerek uygulayin
- Yazicilar : Eger yaziciniz varsa ve ag ici kullanimi soz konusuysa bu kisimda Web tabanli yazdirmayi devre disi birakin.Ornek vermek gerekirse
http://dns.media.eng.hokudai.ac.jp/home.shtml
http://oiell-a-237.oiell.purdue.edu/
** Kullanici Yapilandirmasi :
Yönetim sablonlari : Bu kisimdaki basliklardan sisteminizdeki diger kullanicilar icin kisitlamalar yapabilirsiniz.Bilgisayar yapilandirmasindaki ayarlarimizi buradada uygulayin.
Bilgisayar Yonetımı :
Bu kisma bilgisayarim ikonuna sag tiklayarak yonet seceneginden girebilirsiniz.
- Sistem araclari/Yerel Kullanicilar ve Gruplar..
Users kismindan Guest,Help Assistant vs kullanicilari kapayabilirsiniz.Ayni sekilde Gruplar basligindanda istemediginiz erisimleri kisitlayabilirsiniz.Cmd den Net user i kullanip oradaki support u silerseniz ekranda daima hata mesaji alirsiniz.Bu kisimdan kapatirsaniz sistemde herhangi bir hata olusmaz.Kapattiktan sonra cmd de support,help vs gorunmeside bir seyi ifade etmez.Yonetim konsolundan kapatilirsa erisimleri kapanir.
- Hizmetler ve Uygulamalar\\Hizmetler : Bu kisimda sistem uzerinde calisan sevislerin erisimlerini kisitlayalim.Mesela TCP/IP NetBıos Yardımcisi.. Uzaktan erisim baglanti yoneticisi.. Uzaktan kayit defteri vs.. Uzak erisimleri kisitlayin.
Cookıe Yonetımı :
Icerige basit olarak degineyim.Cookie (cerez) genel olarak bir siteye baglanti yaptiginizda sizin bilgisayariniza yukledigi dosyadir.Siz CW ye her girisinizde sisteme en son hangi tarih ve saatte girdiginizi gorursunuz.Sisteme eristiginizde cookie nize sistem tarafindan bir ID atanacak ve bu sizin bir nevi kimlik kartiniz olacaktir.Daha once hic CW ye girmemis birisi ilk girisinde CW tarafindan rastgele bir ID ile tanimlanir.Eger daha once giris yaptiysa ,girisde CW database de karsiligina gelen cookie bulunur ve sistem kullaniciyi tanir.Saat tarih vs bilgiler boyle bilinir.Login olurken beni hatirla secenegini tiklayanlarin cookie sine sabit bir ID atanir ve her giriste bu ID kullanilir.Siz sifre&kullanici adi girmezsiniz.Sizin bilgisayardaki cookie baska biri tarafindan ele gecirilirse sizin ID ile sisteme erisim saglayabilir.Cookie calma methodlari forumlarimizda mevcut.Korunmak icin bazi seyleri yapmamiz gerek.Simdi bunlara bakalim.
Kullanici tercihlerine gore reklam gorme nette hepimizi ilgilendirir.Siz devamli arastirmalar yaptiginiz bir konu ile alakali reklamlari baska sitelerde gorebilirsiniz.Bu reklam size ozeldir.Sizin tercihleriniz bilinir ve buna uygun reklam verilir.Bu da olayin farkli bir boyutu fakat sirketlerin para kazanma mantıgına dair guzel bir bilgi.
Bunun icin oncelikle cookie lerin oldugu klasoru salt okunur olarak ayarlamaliyiz.Bu yontemle siteler cookielere ulasabilir fakat uzerine yeni bilgi ilave edemez.Bunu IE kullananlar Internet Secenekleri/Gizlilik uzerinden uygulayabilir.Firefox kullanicilari Araclar/Secenekler/Gizlilik/Cerezler Basligindan gerekli duzenlemelerini yapabilir.Ucuncu kisilerin cerez birakmalarini engelleyin.Ayrica firefox u acin ve arama cubuguna \"aboutfig\" yazin.Buradanda kendi seceneklerinizi belirleyin.
Tarayicinizin ayarlarinda bulunan Java ,JavaScript ve AktiveX düzenlemelerini kesinlikle yapin.Bunlarin acik olmasi sizin sistem uzerinde yaptiginiz tum ayarlari ve firewall u bir kenara itip url uzerinden kod calistirilmasina ve cookie bilgilerinizin baska yerlere ulasmasina olanak tanir.
Program Duzenlemeleri :
Farkli amaclar dogrultusunda kurdugunuz programlarin nerelere bilgi gonderdigi,hangi portlarinizi actigini hangi kisimlara erisim sagladigini belirlemeniz gerek.PC niz icin hayati oneme sahip regedit,her program kurulumundan sonra yeni eklemelerle yeniden duzenlenir.Mesela bir AV programi kurdunuz fakat bunun sistem acilisinda calismamasini istiyorsunuz.Bunu düzenlemenin yollari malum bilinir herkesce.Msconfig veya Regeditteki Run klasoru altindan degistirebilirsiniz.Fakat bunlari her an gorme fark etme durumumuz yok.Bunun icinde regedit uzerindeki degi***likleri kontrol edebilen bir program kurmaliyiz.Bildiginiz gibi her yuklenen program Regedite kayit yapar kendini.Mesela Trojanlar,keyloggerlar.. Sistemde calisan bir Regedit koruyucu program trojanin veya baska zararlinin yuklenmesini engelleyecek ve size uyari verecektir.xxx programi xxx dizinine yuklendi,kabul ediyormusunuz diye.
AV programina guvenen veya Firewall dan bir sey gecmez diyenler tekrar dusunmeli ve regedit protector turevi programlari kullanmalidir.Tabiri caizse ev yapimi ve anti-viruslere yakalanmayan onlarca trojan ve keylogger varve hala birilerinin bilgisayarindan bilgi caliyorlar.Cagirdiginiz bir sayfadan veya kurdugunuz bir programdan rahatlikla yuklenir ve AV zararliyi DB sinde gormedigi icin uyari vermez.
Bildiginiz üzere bazi progr*****lar sistemde bulunan koruma panellerine direk nüfuz ederek işlemesini engellemek amaciyla yapilir.Mesela bazi Trojanlar sisteme entegre oldugu an çalışan AntiVirüs veya FireWall türevi koruma programlarini Disable eder.Bunu engellemek için koruma programlarinin içerisinde bulunan kullanici onayli şifrelemeyi kesinlikle ihmal etmeyin.Sistemi kapatmak veya tekrar aktif yapmak şifre korumali olmali.Bu sayede bir adim daha öne geçmiş oluruz
ROOT-KIT’LER / DOKUMAN
Bu yazılarımızda, Root -Kit’lerle ilgili biraz bilgi verelim.
Root-Kit nedir ? Root-Kit, bilgisayarlarda ve işletim sistemlerinde çekirdek seviyesinde çalışan programlarda gizlenebilen çok tehlikeli uygulamalar olarak tanımlanabilir.
Root-Kit denilen araçlar, hacker’ın sistemin içinde kalmayı garantimek için kullandığı araçlardır.
Şimdi Root-Kitler’le ilgili ana bilgileri verelim:
Önce Root-Kit Tanımlaması:
Zararlı kategorilerin en tehlikelerinden biri olan RootKit’lerin ismi, Unix Tabanlı İşletim Sistemlerinin, En Önemli Hesabı Sayılan ve Windows’daki Yönetici Hesabına eş olarak kabul edilen Root’dan gelmektedir.
Yıllar önce, bir hacker, bir bilgisayarın butun Root haklarını ele geçirip, daha sonrasında Kit ismini verdiği Kendi Uygulamalarının tamamını yüklemiştir.
Bu Rootkit, Hacker’a sözkonusu sisteme giriş çıkışla ilgili çeşitli haklar sağlamış, bunların arasında uzaktan sözkonusu sistemi istediği gibi yönetme özellikleri de olmuştur.
İlk bilinen, Windows RootKit’i sayılan NT-ROOTKIT, Güvenlik Kitapları Yazarı Greg Hoglund tarafından 1999 yılında yayınlanmıştır.
Hoglund, şu an Rootkit’lerin oluşturulması ve silinmesi ile ilgili www.rootkit.com isimli web sitesinin de sahibidir.
Tipik olarak, RootKitler, işletim sisteminin defolarından yararlanmak yerine, bu işletim sistemlerinin daha çok genişlemeleri, geliştirilmeleri ile ilgili durumları kullanırlar. Örnek olarak, Windows platformunu ele aldığımızda, gayet moduler, esnek ve yeni, güçlü uygulamalar hazırlamak için çok basit bir platformla karşılaşırız.
Windows için hazırlanmış RootKitler, işletim sisteminin çalışma şekillerinde değişiklik yaratarak, sistemi hacker’ın giriş ve çıkışına uygun hale getirirler.
1 Hacker Rootkıt’ı Nasıl Yukler ?
Bir Hacker’ın RootKit’i bir sisteme yüklemesi için, bir şekilde sisteme girip administrator ( Yönetici ) Haklarını elde etmesi gerekir.
Bunu türlü yollarla başarabilir. Şöyle ki:
Zararlı bir kodu, Web’den indirilebilecek, bir oyun, programa ekleyebilir ve kullanıcıyı o uygulamayı herhangi bir websitesinden indirmesi için yönlendirebilir.
Kullanıcının, şifresi basitse, tahmin yolunu kullanabilir.
Sistemde, bulunan bir güvenlik açığının avantajını kullanabilir.
Zayıf bir şekilde donatılmış sistemi, exploit’leyebilir.
Ve en sonrasında, sistemin kontrolünü ele geçirdiğinde, kendi RootKit’ini sisteme kurar.
User-Mode ve Kernel-Mode Root-Kitleri arasındaki fark nedir ?
Esrar perdesi yönünden, Rootkitleri, Trojan ve diğer virüslerden ayıran en önemli özellik, sistemde çok iyi gizlenmeleri , tesbit edilmelerinin ve silinmelerinin çok zor olmasıdır.
RootKit, Hacker’a, sonraki saldırıları için kapı hazırlar, açar, istenilen uygulamaları çalıştırır, istenilen uygulamaları izler, hacker tarafından daha sonra toplanabilecek tüm bilgileri toparlar.
Günümüzün, yaygın rootkitleri, daha çok, yönetici hakları olan kullanıcı ( user ) modlarında çalışmaktadır. Güvenli işletim tabanının entegrasyonunu bozan bu rootkitler, güvenliğin alt sistemlerini değiştirirler ve sözkonusu yönetim hesabını mesrulastırmak için yanlıs bilgi sunarlar. Sistemin belli uyarılarını keserler, APIler gibi belli programlama arayüzü programlarının çıkışlarını filtreleyebilirler. ( Sistemde olup biten işlemleri , sistem sürücülerini, belli dosyaları, ağ portlarını, kayıt defteri anahtarlarını ve sistem servislerini gizlemek gibi. )
Su an için, HE4HOOK, VANQUISH, APHEX ve en populer olanlardan HACKDEFENDER gibi çeşitli Root-Kit’ler mevcuttur.
Bahsi geçen Rootkitlerin çalışmasının en önemli şartı, hedef bilgisayara tek tek kurulması ve bilgisayar her açıldığında otomatik olarak devreye girmesidir.
User-mode rootkitlerin en büyük dezavantajı, Kernel Mod’ta çalıştırılabilecek bir kodla tesbit edilebilmeleridir.
Rootkit yazan bir hacker bu durum karşısında ne yapacaktır ? Doğal olarak yazmış olduğu RootKit’i Kernal’a yüklemenin yolunu arayacaktır. Fakat bu işi yapmak söylendiğinden daha zordur.
Kernel-Mode’da çalışan bir RootKit oluşturmak ve gizli kalmasını sağlamak çok zordur, çünkü kullanılan kod bozulursa, Windows Mavi Ekran hatası verir.
Kernel-Mode Rootkitlerin, en büyük özelliği, sistemin çökmesine sebep olmalarıdır.
Bu da Micrsoft Personelinin, sözkonusu RootKit’i incelemesi ile ilgili işlerini kolaylaştırmaktadır. Çünkü Microsoft genel olarak sistemi çökerten sebepleri inceleyerek, destek hizmetini genişletmektedir.
FU isimli RootKitin, ısrarcı-olmayan bir Kernel-Mode Root olması sebebiyle, tesbit edilmesi çok güçtür.
Israrcı-olmayan gruba girmesi yüzünden bu Rootkit’in dosyaları sistemde yüklü olmaz. Kernet-Mode RootKit olduğu için, tesbit edilmesi çok zor olan bu Rootkit, sistemin kapatılıp açılmasıyla silinir. Bu durumda hacker sisteme girmenin yolunu tekrar aramak zorunda kalacaktır.
Üzülerek belirtmek gerekir ki, Rootkitler dışındaki zararlı olan tüm virus ve trojanlar da gizlenmeyi sever. Hacker’lar keylogger ve trojan benzeri tüm zararlı kodları, yukarda bahsedilen rootkitleri sakladıkları gibi saklamayı severler. Örnek vermek gerekirse, sisteminin sık sık çökmesinden şikayetçi olan bir kullanıcının bilgisayarı incelendiğinde, Kendini, Kernel-Mode RootKit larak saklamaya çalışan bir casus yazılımla karşılaşılmıştır.
Diğer Root-Kit Türleri:
Persistant Rootkits: ( Israrcı RootKitler )
Sözkonusu Rootkitler, sistem her açılıp kapandığında, ilişkilendirilmiş zararlı yazılımla birlikte devreye gider.
Kullandığı zararlı yazım kodu, sistemin her başlangıcında çalışmaya ayarlı olduğu için, her kullanıcı girişinde, kayıt veya dosya sisteminde kendisini ısrarla tutarak devrede olur.
Memory-Based Rootkits: ( Hafıza Tabanlı Rootkitler )
Bu Rootkitlerin, süreklilik sağlayan kodları bulanmadığın, bilgisayar restart ettiğinde, silinirler.
Windows’da RootKit’leri Nasıl Tesbit Eder ve Silebiliriz ?
RootKitleri tesbit etmek ve silmek çok ugrastırıcı olabilir.
VICE, PatchFinder2 gibi Tesbit Etme Uygulamaları dışında, birçok RootKit Tesbit Etme Programları, maalesef yine bu RootKitleri yazan kişileri tarafından hazırlanmıştır.
\"Beyond Fear\"ın yazarı Bruce Schneier’in Rootkiti hakkında, kendi blog’unda yazmıs olduğu yazılar;
( http://www.schneier.com/blog/archive...ostbuster.html )
ve RSA Konferanslarında sunulmuş olan Windows RootKit’leri, çok büyük yankı uyandırmıştır.
Bunun üstüne, bazı Güvenlik Şirketleri, Rootkitlerle başa çıkabilmek için, Güvenlik Suitlerinin dışında, tek başına küçük uygulamalar çıkarmışlardır.
Bunlardan bir kaçını örnek vermek gerekirsek, SYSINTERNALS firmasının ROOTKITREVEALER programı veya F-SECURE’un henuz Beta aşamasında olan BlackLight Betası gösterilebilir.
Microsoft’da RootKitleri tesbit amaçlı, Microsoft Malicious Software Removel Tool’u çıkarmış ve aylık olarak güncellemektedir.
Üzülerek belirtmek gerekir ki, RootKitleri tesbit eden araçlar ne kadar başarılı olursa olsun, RootKitleri yazanlar, bu Rootkitleri yenilemekte ve tesbit edilmemeleri için kodlarını değiştirmektedirler. Bu Kedi Fare oyunu şeklinde devam etmekte ve gelecekte de devam edecektir.
Bütün bunlar kulağa hoş gelmese de, Rootkitlerden ve Casus Yazılımların getirmiş olduğu tehlikeleri minimuma indirmek için yapılması gerekenler :
Antivirus ve antispyware yazılımlarınızı devamlı güncel tutmak.
Ağları da tarayan, çift yönlü Firewall’lar kullanmak.
İşletim sistemlerinin ve tüm programlarının en güncel yamaların takip etmek ve yüklemek.
İşletim sistemini mümkün olduğu kadar girilmesi zor kılmak. ( Şifreleme işlemleri )
Bilmediğiniz kaynaklardan gelen programları kurmamak.
olacaktır.
Bunun dışında, bu yazıda geçen bazı RootKit Detectorleri, Security bölümünde, Tüm 2006 Diğer Güvenlik Programları başlığına eklenmeştir.
Sözkonusu programları deneyerek, sisteminizdeki rootkit varlığını araştırabilirsiniz.
Link :
http://www.Cyber-security.org/CW/Forum/display_topic_threads.asp?ForumID=26&TopicID=73380 &PagePosition=1&ThreadPage=1
Kaynaklar:
http://www.sysinternals.com/Utilities/RootkitRevealer.html
http://searchwindowssecurity.techtarget.com/originalContent/0,289142,sid45_gci1086474,00.html
http://support.microsoft.com/?kbid=890830
http://www.rootkit.com/
Servisler:
Aşağıdaki liste genellikle masaüstü bilgisayarlarda kullanılmayan servisleri içermektedir. Özellikle kullanılmayacaksa kapatılması önerilmektedir.
Alert: İşlemler arasında bilgisayar kullanıcısına ilgili işlemle ilgili mesaj gönderen bir servistir.
Clipbook: \"Clipboard\" (bilginin geçici olarak yüklendiği bellek alanı) bilgilerin ağ üzerinden paylaşılmasını sağlamaktadır.
Computer Browsing Service: Ağ paylaşımlarından ağdaki bilgisayarların ve paylaştırdıkları bilgilerin görüntülenmesini sağlayan servistir. Kapatıldığı zaman kullanıcının ilgili paylaşımın kaynağını bilmesi ve Explorer penceresinden yazarak ulaşması gerekmektedir.
Fax Service: Faks almayı sağlayan servistir.
FTP Publishing Service: IIS (Internet Information Server) içinde bulunan bir servistir. Varsayılan olarak yüklenmez. Masaüstü bilgisayarların dosya paylaşımların ISS’in kullandığı bir FTP sunucudan yapması önerilmemektedir.
ISS Admin Service: ISS servislerine uzaktan erişim sağlar. Masaüstü bilgisayarlarda bulunmaması gereken bir servistir.
Internet Connection Sharing: Internet’e bağlı bilgisayarın ağ geçidi olarak çalışmasını sağlayan servistir. Yerleşkemizde gerçek IP kullanımı önerilmektedir.
Messenger: Alert servisi ile birlikte çalışan, mesajları birçok bilgisayara gönderen servistir.
NetMeeting Remote Desktop Sharing: Sistem yöneticileri tarafından kullanılan bir servistir.
Routing and Remote Access: Bir ağdaki bilgisayarların başka bir ağdaki bilgisayarlara erişmesine yardımcı olan ya da uzaktan erişim sunucusu olarak kullanıcılacak bilgisayarda çalışan servistir. Masaüstü bilgisayarlarda kullanıcıların ihtiyacı yoktur.
Simple Mail Transfer Protocol (SMTP): Masaüstü bilgisayarlar e-posta sunucusu olarak kullanılmamalıdır. ISS paketi ile gelen bu özellik kapatılmalı, hatta tamamen kaldırılmalıdır.
Simple Network Management Protocol (SNMP) Service: Ağ cihazların uzaktan erişim ile yönetilmesini sağlayan protokoldür. Ancak son zamanlarda birçok açığı ortaya çıkan bu protokolün, kullanmak zorunda olanlar dışında kapatılması önerilmektedir.
Simple Network Management Protocol (SNMP) Trap: SNMP servisinin iletişim kuracağı cihazda çalışması gereken servistir. Kullanılmıyorsa kapatılması önerilmektedir.
Telnet: Genelde masaüstü bilgisayarlarda varsayılan olarak aktif çalışır durumda olmayan servis ağ cihazların komut satırından uzaktan yönetilmesini sağlamaktadır. Ancak kullanıcı adı ve parola ikilisini ve diğer bilgileri düz metin olarak iletmesi nedeniyle önerilmemektedir.
World Wide Web Publishing Service: En çok saldırıya uğrayan ve en çok açığı olan Microsoft servisidir. Varsayılan olarak aktif çalışır olmayan servis masaüstü bilgisayarlardan tamamen kaldırılması önerilmektedir. Sunucu nitelikli bilgisayarlarda da daha gelişmiş web sunucular önerilmektedir.
Regedit (kayıt) dosyasında yapılacaklar:
Aşağıda yer alan değerler önerilen değerlerdir. Bu konuda daha geniş bilgi için SANS Security Baseline belgelerine bakılması önerilmektedir.
· HKLMSoftwareMicrosoftDrWatsonCreateCrachDump (REG_DWORD) 0
· HKLMSoftwareMicrosoftWindows NTCurrentVersionAEDebugAuto (REG_DWORD) 0
· HKLMSoftwareMicrosoftWindowsCurrentVersionPolicies ExplorerNoDriveTypeAutoRun (REG_DWORD) 255
· HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogonAutoAdminLogon (REG_DWORD) 0
· HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogonDontDisplayLastUserName (REG_SZ) 1
· HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogonSFCDisable (REG_DWORD) 4
· HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogonSFCDScan (REG_DWORD) 1
· HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogonSFCShowProgress (REG_DWORD) 0
· HKLMSystemCurrentControlSetControlCrashControlAuto Reboot (REG_DWORD) 0
· HKLMSystemCurrentControlSetServicesCDromAutoRun (REG_DWORD) 0
· HKLMSystemCurrentControlSetServicesLanmanServerPar ametersAutoShareWks (REG_DWORD) 0
· HKLMSystemCurrentControlSetServicesMrxSmbParameter sRefuseReset (REG_DWORD) 1
· HKLMSystemCurrentControlSetServicesTcpipParameters DisableIPSoureceRouting (REG_DWORD) 2
· HKLMSystemCurrentControlSetServicesTcpipParameters EnableDeadGWDetect (REG_DWORD) 0
· HKLMSystemCurrentControlSetServicesTcpipParameters EnableICMPRedirect (REG_DWORD) 0
· HKLMSystemCurrentControlSetServicesTcpipParameters EnablePMTUDiscovery (REG_DWORD) 1
· HKLMSystemCurrentControlSetServicesTcpipParameters KeepAliveTime (REG_DWORD) 300000
· HKLMSystemCurrentControlSetServicesTcpipParameters PerformRouterDiscovery (REG_DWORD) 0
· HKLMSystemCurrentControlSetServicesTcpipParameters SynAttackProtect (REG_DWORD) 2
· HKLMSystemCurrentControlSetServicesTcpipParameters TcpMaxHalfOpen (REG_DWORD) 100
· HKLMSystemCurrentControlSetServicesTcpipParameters TcpMaxHalfOpenRetired (REG_DWORD) 80
· HKLMSystemCurrentControlSetServicesNetbtParameters NonameReleaseOnDemand (REG_DWORD) 1
· HKLMSystemCurrentControlSetServicesIPSECNoDefaultE xpemt (REG_DWORD) 1
EFS (Encrypted File System):
Şu ana kadar ağ üzerinden gelebilecek saldırılara karşı birçok önlem hakkında bilgi verildi. Bu bölümde ise bilgisayarın başına oturacak kötü niyetli kişilerden bilgisayardaki verileri korumak için yapılabileceklerden bahsedeceğiz.
EFS dosyaların şifrelenmiş olarak sabit diskte saklanmasını sağlayan WindowsXP işletim sistemlerinde bulunan bir özelliktir. Public key şifreleme sistemine göre çalışan mekanizmada yönetici haklarına sahip olmak şart değildir. EFS kullanılarak dizin şifrelemek için kullanıcı kendi sertifikalarından ya da Windows XP tarafından o anda oluşturulacak sertifikadan yararlanabilir. Şifrelenmiş dizin içindeki alt dizinlerde bulunan dosyalar ve dizine kopyalanacak dosyalar da aynı anahtarla şifrelenir (EFS işlemleri dizin bazında yapılabilir). Dizini şifrelemek için kullanıcının dizinin \"Özellikler\" (Properties) kısmından \"Gelişmiş\" (Advanced) düğmesine basarak ulaşacağı pencerede “Veri korumak için içeriği şifrele” seçeneğini işaretlemesi gerekmektedir.
Şifrelenmiş dizine sadece şifreleyen kullanıcı ve varsayılan olarak yöneticinin üyesi olduğu bilgi kurtarma ajanları ulaşabilir. Kullanıcı profilinin bozulması, yönetici tarafından kullanıcı parolasının değiştirilmesi ve kullanıcıya ulaşılamayacak anda oluşan acil durumda, bilgi kurtarma ajanları şifrelenmiş dizine erişebilir.
SRP (Software Restriction Policies):
Yöneticinin bir domain’de ya da masaüstü bilgisayarda hangi programların çalışmasına izin vereceğini belirlemeye yarayan Windows XP işletim sistemi özelliklerinden birisidir.
·SRP kurallarına \"Yerel Güvenlik İlkesi\" (Local Security Policy) içinden ulaşılır. Poliçenin varsayılan kuralı \"unresticted\" (kısıtlamasız) olarak belirlenmiştir (her programın çalışmasına izin verir). Yönetici, yaklaşımına göre poliçeyi \"disallow\" (izin verilmeyen) olarak değiştirebilir. SRP’de iki yaklaşım içinde program çalıştırılması kontrol edilir:
1. Sadece güvenilir kodların çalışması: Tüm güvenilir programlar ve onların ilintili olduğu program parçacıklarının belirlenebildiği durumlarda uygulanan yöntemdir. Genelde;
· İş istasyonları
· Uygulama noktası PC’leri
· Kiosk PC’ler
amacıyla hazırlanmış bilgisayarlarda uygulanacak yöntemdir. Örneğin bir yönetici sadece Internet Explorer programının çalışmasına izin verebilir, bu durumda kullanıcı, bilgisayarda başka bir program çalıştırmayı denediğinde, izini olmadığına dair bir mesaj alacaktır.
2. İstenmeyen kodların çalıştırılmaması: Yönetici tarafından kısıtlanması gerekmeyen bilgisayarlarda istenmeyen programların çalışmasını engellemek amacıyla uygulanacak politikadır. Örneğin dosya paylaşım programlarının kullanımını istemeyen bir yönetici bunu poliçeler ile tanımlayabilir.
Yazılım tanımlama kuralları:
1. Karam (Hash) kuralı: Yazılımın dijital parmak izine bakılarak tanımlama yapılır. Çalıştırılabilir dosya başka bir dizine de taşınsa yöneticinin belirlediği kurallara bağlı kalacaktır.
2. Yol (Path) kuralı: Yazılımın dizin yapılanmasındaki konumuna göre belirlenen kuraldır. Çalıştırılabilir dosya başka bir dizine taşındığında kural geçersizdir.
3. Sertifika kuralı: Yayımcısının sertifikasına bağlı olarak belirlenen kuraldır. Çalıştırılabilir dosya bulunduğu dizinden bağımsızdır.
4. Alan (zone) kuralı: Internet üzerinde hangi alandan (Internet, yerel ağ, güvenilir siteler, yasak siteler) geldiğine bağlı olarak belirlenen kuraldır.
Kurallar belirlenirken dikkat edilecek noktalardan birisi belirtilen program çalışırken arkada başka program parçacıkları ile ilintili işler yapıp yapmadığıdır. Kullanıcıya sadece belirili programlar kullanımına izin verildiği durumda daha çok önem kazanmaktadır. Test aşamasında msinfo.exe programı ile çalışan görevler takip edilir ve uygun olanlar hakkında kurallar belirlenir.
kaynak:http://antivirus.nigde.edu.tr/index.php?option=content&task=view&id=30&Itemid=36
Saygılarımla...
Güvenlik Duvarları (Firewall)
Şirketlerin önemli ve hassas verilerini internet, intranet ve extranet gibi ortamlarda saklamaları kurumsal veri güvenliğini tehdit eden önemli bir faktördür.
Yakın bir zamanda yapılan bir araştırmada (FBI/CSC Bilgisayar Suçları ve Güvenlik Kurumu), güvenlik deliklerinin çoğunun yerel ağlarda olduğu saptanmıştır. Firewall (Güvenlik duvarı) gibi uygulamalar kurumların verileri için dış etkenlere karşı bir koruma oluşturmasına rağmen ilave güvenlik katmanlarına gereksinim duyulacaktır.
Intel, IETF ( Internet Engineering Task Force) tarafından bir standart olarak kabul edilen IPSec (Internet Protokol Güvenliği) protokolünü destekleyen ağ yapı taşlarını sağlamaya başladı. IPSec, sadece güvenilir ve yetkilendirilmiş sistemlerin hassas ve önemli verilere ulaşabilmesini ağ katmanında sağlayabilen bir protokoldür.
Internet sanal ortamda şirketlerin ulaşabildiği müşteri sayısını arttırarak işlem hacimlerinin büyümelerine katkıda bulunduğu gibi bir takım güvenlik problemlerini de beraberinde getirmektedir. Geleneksel ortamda kurumlar, kiralık hatlar veya farklı ortamlar ile kapalı sistem denen iletişim hatları ve ortamları kullanırlar. Günümüzde herkesin verilere erişebildiği daha açık sistemler “Sanal Ağlar”ın kullanımının arttığını gözlemlemekteyiz. Bu yeni model tedarikçi ve müşterilerin aynı ağ üzerinde birlikte çalışabildiği “extranet\"lerin gelişmesi ile ortaya çıkmıştır. Extranet, kurumun kapitalini ve hassas verilerini internet ortamına koymasını gerektirir. Teorik olarak bu önemli veri herkes tarafından ulaşılabilecek bir ortamda durmaktadır.
Kurumların veri iletimi için internet ortamını seçmelerinin diğer bir nedeni ise kiralık hatlar gibi uçtan uca bağlantılara göre çok daha ekonomik olmasıdır. Çok daha fazla verinin extranet’ler aracılığı ile şirketlere açıldığı gibi bu veriler aynı yerel ağ üzerinde bulunan diğer çalışanların daha rahat ulaşabileceği ortamda bulunması göz ardı edilmemelidir. Güvenlik sorunları, hacker’lar gibi kasten veriyi çalmak, ele geçirmek için kullanılan şahıslar tarafından meydana gelebilir ya da ağa erişim hakkı bulunan ve kurumun kuralları ve prosedürlerinden haberi olmayan yetkili kullanıcıların yapabileceği hatalardan oluşabilir.
Güvenilir Sanal Ağlar
WEB üzerinden satış ve ticaret yapmak, diğer şirketler ile elektronik ortamda iletişim şirketimizin büyümesine katkıda bulunacaktır. Kapalı sistemlerde sadece çalışanlar arasında veri iletişimi gündemde iken, internet ve web gibi açık sistemlerde dünyaya açılıyoruz. Aşağıdaki örnekler, neden güvenilir bir ağa gereksinimiz olduğunu daha iyi açıklayacaktır.
<LI class=Msonormal style=\"MARGIN: 0cm 0cm 0pt\">İki farklı şirket düşünün. Bu şirketler yüksek teknolojiyi kullanıyorlar ve yeni bir ürünün piyasaya çıkartılması konusunda beraber çalışıyorlar. Ortak çalışabilmeleri için her şirket, hassas verilerinin diğer şirket tarafından kullanılmasına izin vermek durumundadır. Şirketler nasıl birbirlerine verinin tehlikeye girmeyeceği, veya yetkisiz bir personelin eline geçmeyeceği konusunda garanti verebilir? <LI class=Msonormal style=\"MARGIN: 0cm 0cm 0pt\">Günümüzde sözleşmeli veya geçici personel alımına talep artmaktadır. Şirketler, önemli verilerinin kısa dönemli çalıştırılacak olan personelden nasıl koruyabilir?
Bir tedarikçi şirket düşünün ve bu şirket başka bir şirketin sadece üretim planlama sunucusuna bağlanabilme yetkisi verilmiş olsun. Bu sunucuda kendi ağlarındaki diğer sunuculara bağlı. Üretim planlama sunucusunu tedarikçi firmaya yetkilendiren şirket, tedarikçi şirketteki kullanıcıların üretim planlama sunucunu ağlarına bağlanmak için bir geçiş kapısı olarak kullanmalarını nasıl engelleyebilir?
Yukardaki örneklerde, önemli verinin karşılaştığı tehditler hep ağ güvenlik duvarının içindedir. Veri kaynağında, yani LAN içinde öncelikle korunmalıdır. WAN üzerinde güvenli iletişimde “Sanal ve Özel Ağlar” deyimini kullanıyorduk. LAN içinde de güvenli iletişim “Güvenilir Sanal Ağ” olarak adlandırılacaktır.
Yeni Bir Güvenlik Modeline Gereksinim
Güvenlik çözümlerinden biri, firewall (güvenlik duvarı) uygulamaları aktif olarak kullanılmaktadır. Firewall uygulamaları, kurumun elektronik kaynaklarına erişimi, IP paketlerine filtrelemeler ve kısıtlamalar getirerek kontrol eder. Fakat bu uygulamalar sadece dış tehditleri düşünmektedir. Bir alışveriş merkezinde, sadece kapıya bir güvenlik görevlisi koymak yeterli midir? Kameralar, hareketi algılayan özel donanımlar gibi ilave donanımlar ile iç güvenlik arttırılmalıdır
