HACKER OO1
HOŞGELDİNİZ HACKEROO1
FORUM : BLOK : SİTEMİZ : =İÇRESİNDE
MÜKEMMEL PAYLAŞIMLAR VARDIR
SİZLERİNDE ARAMIZDA OLMANIZI İSTERİZ,TAMAMEN ÜCRETSİZ OLAN
PAYLAŞIMLAR VE ÜYELİGİMİZ:
KESİNLİKLE SİZLERİN İSTEKLERİNİZ
ÜZERİNE HAZIRLANMIŞ VE TASARLANMIŞTIR
SİTEMİZDE İYİ VAKİT GECİRMENİZ DİLEGİYLE
ADMİN

Stuxnet nedir ve nasıl engellenebilir?

Aşağa gitmek

Stuxnet nedir ve nasıl engellenebilir?

Mesaj tarafından RebelliouS Bir C.tesi Ekim 16, 2010 4:07 am

Bilgi güvenliği dünyasını Stuxnet vurdu. Arkasında devlet veya devletlerin olduğu düşünülen bu trojan nedeniyle büyük kurumlarda çok büyük çalışmalar başlatıldı. Peki ya Stuxnet'in kardeşleri varsa? Stuxnet ve benzeri bilinen veya bilinmeyen trojanlar'dan nasıl korunuruz?
Stuxnet sadece bilgi güvenliği dünyasına değil, ulusal güvenlik teşkilatlarına bile fazla mesai yaptırıyor. Stuxnet trojanı USB aygıtlarından kopyalanarak ve kendi kendini bulaştırarak yayılıyor. Windows üzerinde çalışan ve entegre üretim tesislerinin kontrolünü sağlayan Siemens SCADA sistemi yazılımını hedef alan bu etkili trojan üretim sistemlerine kendi kodlarını yollayabiliyor. Trojanın üretim kodlarını çaldığı ve PLC tezgahlarına da yerleştiği söyleniyor. Diğer bir söylenti ise trojanın İran nükleer tesislerinden bilgi sızdırmaya çalıştığı.
Bu kadar çok söylenti olmasının temel nedeni Stuxnet'in bugüne görülen en karmaşık malware olması. Trojanda kullanılan tekniklerin onlarca ileri derece bilgisayar uzmanının katılımı ile yaratılabileceği söyleniyor. Bu nedenle trojanın bir devlet desteğiyle üretildiği düşünülüyor ve bu açıkça ifade ediliyor. Bu ülkenin hangisi olduğu tahmin edilemediği gibi trojanın hangi sistemleri hangi şartlarda hedef aldığı ve kurban sistemlerde ne gibi bir etkisi olduğu tam olarak bilinmiyor.

Geçtiğimiz yıllarda sadece Diebold marka ATM cihaz ve yazılımlarını etkileyen ve sadece manual operasyonla yüklenebilen bir trojan bulunmuştu. Sizce bu ve Stuxnet türevi bilinmeyen kaç malware vardır? Bu kötücül yazılımlar bizim sistemimizi hedef seçerse ne yapacağız?
Günümüzde PLC'ler, banka ATM cihazları, Kiosk'lar, pc tabanlı multimedia telefonlar, hastanelerde kullanılan binbir çeşit sağlık cihazı (tomografi, mr, ultrason, röntgen vb), pc tabanlı POS cihazları ve IP telefon santralleri gibi onlarca bilgisayar temelli cihaz kullanılıyor. Bu cihazları bilinen ve bilinmeyen tehlikelerden korumanın basit bir yöntemi var: SolidCore.
SolidCore şirketi yıllardır özellikle banka ATM/Kiosk cihazları, PoS cihazları ve sağlık ürünlerini koruyan bir dizi yazılıma sahip. Geçtiğimiz yıl McAfee tarafından satın alınan SolidCore temel olarak işletim sistemini kilitleyerek çalışıyor.
SolidCore yazılımları güvenliğinden emin olunan işletim sistemine kuruluyor ve çalıştırılıyor. Yazılım sistemdeki her dosyanın parmakizini alıyor ve bu bilgileri saklıyor. Sistem yöneticisinin izin verdikleri hariç hiçbir dosya çalıştırılamıyor, hafızaya yüklenemiyor, erişilemiyor. Yönetimsel açıdan ise esnekliğe sahip. Örneğin tüm işletim sistemini kilit altında tutup sadece Windows Update servisinin Microsoft'un geçerli elektronik sertifikası ile güncelleme yapmasına izin vermek mümkün. Aynı şekilde bir Antivirus ürününün DAT dosyasını güncellemesine izin verebiliyoruz. Yazılımların CoBIT, PCI ve ISO standartlarını karşılayan güvenlik özellikleri ve raporlama araçları da bulunuyor.
SolidCore yazılımı yüklü bir bilgisayara bir kötücül kodun bulaşıp etkili olması veya sistemin herhangi bir yöntemle manipule edilmesi mümkün değil. Korunan bilgisayarda Windows update yapmak veya antivirus yüklemek zorunluluğu bulunmuyor.

www.solidcore.com


avatar
RebelliouS
hacker
hacker

Mesaj Sayısı : 764
rep-puan : 7454
Rep Puan : 13
Kayıt tarihi : 27/09/10
Yaş : 28
Nerden : C:\Windows\system32

Oyun Sayfası
Oyun Alanı:

Kullanıcı profilini gör http://hackeroo1.yetkin-forum.com/groupcp.forum?g=18

Sayfa başına dön Aşağa gitmek

KONU:Stuxnet,Hakkında Bilgi Paylaşımı

Mesaj tarafından MASKE Bir C.tesi Ekim 23, 2010 5:43 pm

Slm:Adminim çok güzel bir konu açmıssın bende birşeyler eklemek istedim

Stuxnet'i özel yapan ne?
Osman PAMUK, TÜBİTAK-UEKAE
28.09.2010
Stuxnet ilk defa haziran ayının ortalarında Beyaz Rusya'daki küçük bir firma olan VirusBlokAda tarafından tespit edildi. İlk incelemeler virüsün standart bir solucan olmadığını zaten gösteriyordu fakat karmaşık yapısı yüzünden uzayan incelemeler devam ettikçe işin boyutu gittikçe değişti. Özellikle solucanın çok karmaşık yapısı, kullandığı taktikler ve hedefi göz önüne alınınca, siber savaş adı altında yıllarca dillendirilen senaryoların aslında çok da gerçek dışı olmadığı ortaya çıktı. Tabii ki konunun bu boyutu incelemeye değer önemli bir konu olsa da, açıklığa kavuşması gereken çok fazla iddia ve yorum farklılığı olmasından dolayı biz bu yazımızda bu iddia ve yorumlardan ziyade bu solucanı gerçekten diğer zararlı yazılımlardan farklı ve üstün kılan özellikler neler onlardan bahsetmeye çalışacağız.

Solucanı inceleyen araştırmacılar tarafından ortak olarak dile getirilen ilk gerçek şu ki, stuxnet çok karmaşık bir yapıya sahip. Bu yüzden bu solucanın birçok farklı alandan uzmanların bir araya gelerek üzerinde uzun süre çalıştığı ve kayda değer bir bütçeye sahip bir projenin ürünü olduğu görüşü hâkim. Yine birçok araştırmacı tarafından bu tür bir projenin basit bir suç örgütünden ziyade devlet desteğindeki bir kuruluş tarafından gerçekleştirilmiş olması daha gerçekçi gözükmekte.

Stuxnet kendi karmaşık yapısı içinde hâlihazırda bilinen birçok zararlı yazılım yöntemini kullanmanın yanında daha önce hiçbir zararlı yazılımda olmayan dikkat çekici birkaç özelliğe daha sahip. Özellikle dört tane sıfır gün (zero-day) yani daha önceden bilinmeyen açıklığı beraber kullanması, kendini gizlemek için kullandığı çekirdek (kernel) sürücülerini rahat yükleyebilmek için güvenilir firmalardan çalınmış kök sertifikalar ile sürücülerini imzalaması ve en önemlisi hedef olarak sanayi ve enerji tesislerindeki fiziksel süreçleri gizlice değiştirmeye çalışması.

Sıfır gün açıklıklarının zararlı yazılımlar tarafından kullanılması aslında yeni bir yöntem değil, fakat daha önce hiçbir zararlı yazılımın dört tane sıfır gün açıklığını birden kullandığı tespit edilmemişti. Tek bir sıfır gün açıklığının tespit edilmesi ve farklı ayarlardaki değişik işletim sistemlerinin hepsinde düzgün bir şekilde çalışmasının sağlanması uzun bir inceleme ve test aşamasının yanında önemli bir uzmanlık gerektirmektedir. Bulunan bir açıklığın düzgün bir şekilde kullanılması önemlidir, aksi takdirde zararlı yazılımın tespiti çok daha kolaylaşacaktır. Bu açıdan bakıldığında dört yeni açıklığın birlikte sorunsuz olarak çalıştırılmasının ne kadar uzmanlık, inceleme ve test süreci gerektirdiği aşikârdır. Peki, nedir bu ilk defa stuxnet tarafından kullanılan ve stuxnet'in keşfi ile bizim de haberdar olduğumuz açıklıklar:

• MS10-046, Microsoft Windows Shell Kısayol İşleme Açıklığı: Asıl olarak işletim sistemindeki bir dizayn hatasından kaynaklanan bu açıklık sayesinde autorun açık olmasa bile bilgisayara takılan bir taşınabilir depolama aygıtındaki dosyaların ikonlarını göstermeye çalışan Windows Gezgini ve benzeri bir programın zararlı bir kodu çalıştırması sağlanabiliyor. Stuxnet’in de asıl olarak bu yöntemle birçok yere bulaştırıldığı düşünülüyor. Ayrıca kendini güncelleme yeteneğine sahip olan stuxnet’e bu özelliğin mart ayında eklendiği ve daha önceden solucanın taşınabilir cihazlardaki autorun özelliği ile bilgisayara bulaştığı düşünülmekte.

• MS10-061, Microsoft Windows Yazdırma Kuyruklayıcısı Açıklığı: Bu açıklığı kullandığı, stuxnet’in daha sonraki detaylı incelemelerinde açığa çıktı. Bu açıklığı kullanarak stuxnet bulaşmış olduğu bir bilgisayardan diğerine atlamayı başarabilmekte. Basitçe bu açıklık bir bilgisayara uzaktan yüksek yetkilerle dosya yüklenilmesine olanak sağlamakta. Daha sonra da bu dosya WBEM’in bir özelliği ile çalıştırılabilmekte. Önce şunu belirtmek gerekir ki bu açıklık yukarıdaki açıklık gibi bir taşınabilir aygıtın takılmasını gerektirmese de açıklıktan yararlanılabilmesi için gereken birçok şartın beraber bulunmasını gerektiği için kullanılabilmesi daha zor olan bir açıklık.

• Ve iki tane de hak yükseltme açıklığı: Stuxnet yukarıda bahsi geçen, yayılmak için yararlandığı açıklık yanında bulaştığı bir sistemde tam kontrolü elde edebilmek için kullandığı birisi XP, diğeri Vista üstü işletim sistemler için geçerli iki hak yükseltme açıklığından da faydalanmakta. Bu açıklıklar Microsoft tarafından hâlâ kapatılmayı bekliyor.

Bütün bu açıklıların yanında stuxnet eski olsa da gayet etkili olan, ünlü conficker solucanının yayılmak için kullandığı MS08-67 açıklığından da yararlanmakta.

Çekirdek rootkit yöntemleri Windows XP de olsun Windows 2003 de olsun zararlı yazılımların kendilerini virüs tespit programlarından korumak için kullandıkları en güçlü silahlardan birisidir. Fakat 64 bit Vista ve sonrası işletim sistemleri ile gelen KMCS (Kernel Mode Code Signing ) ve Patchguard gibi koruma mekanizmaları bu tür yöntemlerin kullanılmasını büyük derecede engelledi. Özelikle KMCS özelliği çekirdeğe yüklenecek bütün sürücülerin güvenilir sertifikalar ile imzalanmış olmasını şart koşmakta. 32 bit Vista ve üstü sistemlerde ise eskiye uyumluluğun korunabilmesi için bu korumalar tam olarak aktif hale getirilmese de güvenilir sertifikalar ile imzalanmamış çekirdek sürücülerinin çalıştırılması kısıtlanmış ve çalıştırılabildiği durumlarda da kullanıcılar uyarılmaktadır.
Fakat bu sistemlerin güvenilir bir sertifika ile imzalanmış kötü niyetli bir yazılımı, normal bir yazılımdan ayırt etme yeteneği bulunmamaktadır. İşte bu sebeple stuxnet çekirdek sürücüsü üreten iki tanınmış firmanın kök sertifikasını ele geçirip kendi kötü niyetli çekirdek sürücülerini imzalayarak bu korumaları sorunsuz bir şekilde aşmayı başarmaktadır. Dikkatli bir şekilde saklanması gerektiği gayet iyi bilinen bu kök sertifikaların nasıl ele geçirildiği ilginç bir konu olarak gözükse de maalesef bu konuda yeterince bilgi mevcut değil.

Peki, bu kadar hazırlık ve çabanın sonucunda yapılmak istenen ne? Stuxnet'in hedefi halihazırda piyasa da bulunan virüsler gibi banka veya online oyun hesap bilgilerinin çalınması, DDOS saldırıları gerçekleştirmek veya spam mail atabilmek için zombi bilgisayar ordusu kurmak ve kiralamak değil. Bunların hepsinden farklı olarak; su kaynakları, petrol platformları, enerji santralleri ve diğer sanayi tesislerinin kontrolü için kullanılan SCADA (Siemens supervisory control and data acquisition) sistemlerini ele geçirip fiziksel kontrol sistemlerinin çalışmasını değiştirmek. Stuxnet eğer bulaştığı bilgisayarda bir SCADA sistemi mevcutsa ilk önce mevcut projelerin kod ve dizaynlarını çalmaya çalışıyor, onun dışında asıl ilginç olan nokta ise stuxnet’in programlama yazılım ara yüzü vasıtasıyla PLC'lere (Programmable Logic Controllers) kendi kodlarını yüklemesi. Ayrıca yüklenen bu kodlar, stuxnet’in bulaşmış olduğu bir bilgisayardan PLC'lerdeki bütün kodlar incelenmek istendiğinde dahi görülemiyor. Böylelikle stuxnet PLC lere enjekte edilen kodları saklayabilen bilinen ilk rootkit unvanına da sahip oluyor.
Şekil Stuxnet Dağılımı
Bütün bu özelliklerinin yanında stuxnet’i ilginç hale getiren diğer bir özelliği ise virüsün yayılım alanı. Kaynaklara göre solucana en yoğun olarak İran’da, sonra Endonezya ve Hindistan’da rastlanmakta. Stuxnet’in asıl amacı neydi? Amacına ulaşabildi mi? Kimler tarafından hazırlandı? Ne zamandır bu solucan aktif olarak piyasada bulunuyordu? Bu sorunların cevapları solucan incelendikçe umarız daha fazla aydınlanacaktır. Ancak sonuç olarak şunu rahatlıkla söyleyebiliriz ki, stuxnet şimdiye kadar keşfedilebilmiş(!) hedefli saldırı türünün en güzel örneklerinden birisi.?-MASKE-?
avatar
MASKE
hacker
hacker

Mesaj Sayısı : 199
rep-puan : 2147486755
Rep Puan : 53
Kayıt tarihi : 17/07/10
Yaş : 38
Nerden : İZMİR

Oyun Sayfası
Oyun Alanı:

Kullanıcı profilini gör http://www.hackeroo1.yetkin-forum.com

Sayfa başına dön Aşağa gitmek

Geri: Stuxnet nedir ve nasıl engellenebilir?

Mesaj tarafından RebelliouS Bir C.tesi Ekim 23, 2010 7:46 pm

hı bır de 2009 yılımıydı neydi o senede bir tane çok güçlü bir virus etkinleşecekti noldu bılmıyorum:)

::::Türkün dostlugu kıymetlidir ! Düşmanlıgı ise çok şiddetlidir:::::HaCkEr oo1:::::






avatar
RebelliouS
hacker
hacker

Mesaj Sayısı : 764
rep-puan : 7454
Rep Puan : 13
Kayıt tarihi : 27/09/10
Yaş : 28
Nerden : C:\Windows\system32

Oyun Sayfası
Oyun Alanı:

Kullanıcı profilini gör http://hackeroo1.yetkin-forum.com/groupcp.forum?g=18

Sayfa başına dön Aşağa gitmek

Sayfa başına dön

- Similar topics

 
Bu forumun müsaadesi var:
Bu forumdaki mesajlara cevap veremezsiniz