|
|||||||
|
|
|
|||||
|
|
|||||||
O Z T U R K C I T Y© H a c k
Hack Tarihcesi
1969 Öncesi. Önce bir telefon şirketi vardı: Bell Telephone. Ve zamane hacker’ları. Tabii, 1878’de onlara hacker denmiyordu henüz. Telefon santrallerine operatör olarak alınmış, onun telefonunu buna, bununkini ona bağlayan şakacı birkaç genç delikanlı.
Artık telefon santrallerinde neden bayan operatörler tercih edildiğini anlıyorsunuz!
Şimdi, 1960’larda ortaya çıkan gerçek bilgisayar hacker’larına gelelim. ABD’nin dahiler çıkaran ünlü üniversitesi MIT’de (Massachusetts Institute of Technology) bilgisayarlar kullanılmaya başlandığında, bazı öğrenci ve asistanlar, bu makinelerin nasıl çalıştığını çok merak ettiler, bu yeni teknoloji hakkında ne varsa öğrenmeye çalıştılar. O günlerde bilgisayarlar, ısı kontrollü cam odalarda kilitli olan devasa makinalardı.
Bu ağır metal yığınlarını çalıştırmak binlerce dolara mal oluyordu. Programcılar bu dinozorları pek de kolay kullanamıyordu. Bu yüzden, zeki olanlar, hesaplama işlemlerini daha çabuk yapabilmek için “hack” dedikleri programlama kısayolları yarattılar. Bazen bu kısayollar orijinal programdan daha iyi tasarlanmış oluyordu.
Belki de bütün zamanların en iyi hack’lerinden biri, 1969’da, Bell laboratuarlarındaki iki çalışanın, Dennis Ritchie ve Ken Thompson’un bilgisayarların artık açık kurallarla çalıştırılması gerektiğini düşünmesiyle yaratıldı. İkili, geliştirdikleri bu yeni standart işletim sistemine UNIX ismini verdiler.
l 1970-1979. 1970’lerde siber cephe alabildiğine açıldı. Bu işle ilgilenen herkes, kablolarla bağlanmış bir dünyanın nasıl çalıştığını araştırmaya ve bulmaya çalışıyordu. 1971’de, John Draper isimli bir Vietnam gazisi, Cap’n’Crunch (mısır gevreği markası) kutusundan çıkan promosyon düdüklerin 2600 MHz tonda ses çıkarttığını fark etti. Bedava telefon görüşmesi yapmak için düdüğü telefonun alıcısına üflemek yeterliydi.
O zamanın hacker’ları, “phreaking” adı verilen bu tür yöntemlerin kimseyi incitmediğini, telefon hizmetinin sınırsız bir kaynak olduğunu ileri sürüyorlardı. Hackerlar dünyasında tek eksik sanal bir kulüp binası idi. Dünyanın en iyi hacker’ları nasıl tanışacaklardı? 1978 de, Chicago’lu iki genç, Randy Seuss ve Ward Christiansen, ilk kişisel BBS’i (Bulletin Board System - İlan Tahtası Sistemi) kurdular. BBS’ler günümüzde halen çalışıyor.
l 1980-1986. Bildiğiniz gibi IBM firması, 1981’de bağımsız işlemcisi, yazılımı, belleği ve depolama birimleri olan yeni bir bilgisayarı duyurdu. Bu modele PC (Personal Computer-Kişisel bilgisayar) adını verdiler. Bu makinelerden biriyle istediğinizi yapabilirdiniz. Gençlerin Chevrolet’lerini bırakıp PC’lere, “Commie 64” (Commodore64) ve “Trash-80”lere (TRS80-Tandy) düştükleri zamanlardı bunlar.
1983 yılında çevrilen War Games (Savaş Oyunları) adlı film, hacker’lığı farklı bir cepheden ele aldı: Bu film izleyicileri hacker’ların her bilgisayar sistemine girebileceği konusunda uyarıyordu. Ama alttan alta, hacker’ların çevresinde hep güzel kızların olduğu mesajı da alınıyordu.
Her geçen gün daha fazla kişi online dünya ile tanışıyordu. Askeri amaçlarla kurulan, sonradan üniversiteler arasında bir ağ haline gelen ARPANET, artık Internet’e dönüşüyordu; BBS’lere karşı tam bir ilgi patlaması yaşanıyordu. Milwaukee’de kendilerine The 414’s diyen bir hacker grubu, Los Alamos Laboratuarlarından Manhattan’daki Sloan-Kettering Kanser Merkezi’ne kadar değişen pek çok kurumun sistemine girdiler. Artık polisin işe karışma zamanı gelmişti!
l Büyük Hacker Savaşı. 1984’e, kendine Lex Luthor adını veren bir kişi Legion Of Doom (LOD - Kıyamet Lejyonu) adlı hacker grubunu kurdu. Adını bir çizgi filmden alan LOD, en iyi hackerlara sahip siber-çete olarak ün saldı. Ta ki grubun en parlak üyelerinden Phiber Optik isimli gencin, grubun bir diğer üyesi Erik Bloodaxe ile kavga edip kulüpten atılmasına kadar. Phiber’in arkadaşları rakip bir grup kurdular: Masters Of Deception (MOD). 1990’den itibaren, LOD ve MOD, iki yıl boyunca online savaşlar sürdürdüler, telefon hatlarını kilitlediler, telefon görüşmelerini dinlediler, birbirlerinin özel bilgisayarlarına girdiler. Sonra Federaller (FBI) olaya el attı, Phiber ve arkadaşları tutuklandı. Bu olay, bir dönemin sonunun geldiğini haber veriyordu.
l Yasaklar (1986-1994). Devlet de online olunca, eğlence bitti. Kongre, ciddi olduklarını göstermek için, 1986’da Federal Computer Fraud and Abuse Act (Federal Bilgisayar Sahtekarlığı ve Kötüye Kullanma) adı altında bir yasa çıkardı. Bu boyutta hacker’lık ağır bir suç oldu!
1988’de Robert Morris Internet worm (Internet solucan’ı) adını verdiği bir hack yöntemi ile ortaya çıktı. Net’e bağlı 6000 bilgisayarı göçerterek, yeni yasayla yargılanan ilk kişi olma şerefine erişti. Sonuç: 10.000 dolar para cezası ve çok fazla saat toplum hizmeti.
Bir süre sonra, tutuklananları saymak için parmaklar yetmemeye başladı. Aynı yıl Condor takma adıyla tanınan ünlü hacker Kevin Mitnick, Digital Equipment Company şirketinin bilgisayar ağına girdi. Yakalandı ve 1 yıl hapis cezasına mahkum oldu. Sonra adaşı Kevin Poulsen telefon hatlarına girmekle suçlandı. Kevin hemen ortadan kaybolarak adaletin uzun kolundan 17 ay boyunca saklandı.
Sundevil Operasyonu, ABD hükümetinin ülkedeki tüm hacker’ları (LOD dahil) ele geçirmek için 1990’da başlattığı bir operasyondur. Bu girişim bir işe yaramadı; ancak bir yıl sonraki Credux operasyonun MOD’ın 4 üyesinin hapisle cezalandırılmasıyla sonuçlandı. Phiber Optik federal hapishanede bir yıl geçirdi.
l 1994’den Bugüne. 1994 yazında, Rus mafyasının eline düştüğü ileri sürülen Vladimir Levin adlı bir genç, Citibank’ın bilgisayarlarına girerek müşterilerin hesaplarından, bir söylentiye göre 10 milyon dolardan fazla parayı (resmi açıklamaya göre 2.5 milyon dolar) İsrail’deki banka hesaplarına transfer etti. Levin, 95 yılında Interpol tarafından Heatrow Havaalanında tutuklandı; Citibank yaklaşık 400.000 dolar haricinde tüm parasını geri aldı. Hackerların art arda tutuklanması siber ortamda ani bir dolandırıcılık azalmasına neden oldu.
Bazı insanlar önceki hatalarından ders almadılar tabii. 1995 Şubatında Kevin Mitnick tekrar tutuklandı. Bu sefer FBI onu 20 bin kredi kartı çalmakla suçladı. Daha sonra çalınmış cep telefonu numaralarını kullanması nedeniyle dava açıldı. Davası 1999 Ocak ayında görülecek olmasına karşın, mahkeme onu kefaletle serbest bırakmama kararı aldı ve hapisteyken lehine delil toplamak için olsa bile bilgisayar kullanmasını yasakladı. Kevin Mitnick serbest kaldığında bile büyük olasılıkla göz altında tutularak bilgisayarlara erişimi engellenecek.
Mitnick’in zincirlerle götürüldüğünü devlet televizyonunda görmek, online kanunsuzlarına karşı toplumun sempatisini azalttı. Net kullanıcıları “password sniffer” gibi araçlar kullanarak özel bilgilere sızan veya “spoofing” gibi bir makineyi kandırarak hacker’a giriş izni veren araçlar kullanan hacker’lardan dehşete kapıldılar.
Bunu ister anarşinin sonu, ister serbestliğin ölümü olarak adlandırın, artık hacker’lar romantik anti-kahramanlar, sadece bir şeyler öğrenmek isteyen farklı (tuhaf) insanlar olarak kabul edilmiyorlardı. Dünya piyasasını Net üzerinden yönetme vaadiyle filizlenen online ticaret, korunmaya ihtiyaç duyuyordu. Hacker’lar birden dolandırıcı niteliği kazandılar. Gerçi bazıları Mitnick’i kahraman ilan ettiler, yargılanmadan infaz edildiğini ileri sürerek serbest bırakılması için kampanyalar başlattılar (bkz. www.2600.com); ancak Mitnick dışında hiçbir hacker bu ölçüde benimsenmedi.
Peki şimdilerde neler oluyor? Internet dünyasında yasadışı yöntemlere sıkça başvuruluyor, ancak eskisi gibi efsaneleşmiş isimler çıkmıyor.
Yine de Aldous Huxley’in bir zamanlar söylediği gibi, olaylar görmezlikten gelinmekle yok olmazlar. Bilgisayar yer altı dünyasında hep söylenen şu sözü de unutmayın: İyi bir hacker’san, ismini herkes bilir. Ama büyük bir hacker’san kimse kim olduğunu bilmez.
HACK NEDİR NASIL KORUNURSUNUZ?
Şirketinizi Internet’e bağladınız ya da Internet’te sörf yapan öğrenme meraklısı bir kullanıcısınız. Dünyanın herhangi bir köşesindeki bir firmanın yetkilileri sizin sayfanızı gezebiliyor ya da siz normalde zorlukla ulaşacağınız bilgilere tek bir fare tıklamasıyla ulaşabiliyorsunuz. Fakat unutmayın ki yeterli önlemleri almadığınızda teknolojiyi yakından takip etme hevesi size hiç tahmin edemeyeceğiniz zararlar verebilir. Kötü niyetli birileri makinenize girebilir, bilgilerinizi değiştirebilir hatta onları silebilir, sizin adınıza başkalarına e-mail atabilir ve daha birçok şey yapabilir. Teknoloji harikası olarak nitelendirilen Internet’in hiç de göz ardı edilemeyecek zayıf noktaları vardır.
Takip eden kısımlarda bunlardan nasıl korunacağınızı ya da en az şekilde nasıl kurtulabileceğinizi anlatmaya çalışacağız. Fakat Internet’in ince noktalarına girmeden önce kaba olarak Internet’in çalışma sistemi ile ilgili bir kaç şeyi açıklamakta fayda var.
BİLGİSAYARINIZ İNTERNETE NASIL BAĞLANIYOR?
İşletim sistemlerinin ağ (networking) tabakaları gelen verinin istenilen programa iletilmesi ya da verinin bir programdan istenilen bir hedefe gönderilmesini işini üstlenir. Dışarıdan gelen verinin kendine ait olup olmadığının doğruluğunu kontrol etmek verinin tipini bulmak, gerekli bağlantıyı kurmak ve bağlantıyı koparmak, bağlantının koptuğunu anlamak bu tabakanın (layer) işlerinden sadece birkaçıdır.
Internet Protokolünün en zayıf tarafı gelen ve giden bilginin kaynağının ve içeriğinin doğruluğunun kontrol edilmemesidir. Eğer bir kişi isterse, sanki başka bir kaynaktan geliyormuş gibi istediği herhangi bir adrese herhangi bir paket gönderebilir. Yeterince teknik bilgiye sahipseniz sahte bağlantılar bile kurabilirsiniz. Ayrıca bazı “yanlış” paketler göndererek işletim sistemlerini şaşırtabilir, hatta kilitlenmelerini sağlayabilirsiniz (buna da “nuke” denir).
Hackerlar için bir ton tanım mevcut. Ama biz, kendilerini her türlü bilgiye bedava olarak erişmek isteyen insanlar olarak tanımlayalım. Hackerlar bilgisayar hakkında çok bilgilidirler ve bu bilgiyi çoğu zaman bir şirketi zengin etmek için değil de kendileri için kullanmayı yeğlerler. Bilgisayara fetişistik bir düzeyde düşkündürler.
Sistemlerin zayıf noktalarını bulmak ve onları açığa çıkartmak onlara büyük bir zevk verir. Gerçekten hacker olan bir insan “ben hacker’ım” demez, hatta inkar eder. Hacker’lık büyük gizlilik ve ciddiyet isteyen bir iştir. Sürekli olarak okumayı, öğrenmeyi ve denemeyi gerektirir. Her işin olduğu gibi hacker olmanın da kuralları vardır (sisteme zarar vermemek, devlet bilgisayarlarına girmemek gibi).
Bir genelleme yapmak gerekirse 2 tip hacker vardır:
l Siyah Hackerlar (Malicious Hackers): Hacker’lığın en önemli kurallarından biri olan karşı sisteme zarar vermeme kuralı onlar için pek bir şey ifade etmez. Açığını buldukları herhangi bir sistemin içeriğini silebilir ya da web sayfalarının içeriğini HACKED BY XXX yada OWNED türünden kelimelerle değiştirirler. Belirli bir guruba üyelerdir. Çoğu zaman bu gruplar arası savaşlar yüzünden bir çok sayfa ya da hükümet sistemleri zarar görür. Bu kişiler kredi kartı ile alışveriş yapılan sistemleri hack ettikten sonra oradan alış-veriş yapmış olan kişilerin kart numaralarını kullanarak o kişilere büyük ölçüde zarar verebilirler.
l Beyaz Hackerlar: Sistemleri sadece bilgiye (daha sonraları da rahatlıkla) erişebilmek için hack ederler. Girdikleri sisteme zarar vermez ve sistem dosyalarını değiştirmezler. (Varlıklarını gizlemek için bir iki log dosyası silmek ya da daha sonrada tekrar girebilmek için kendilerine hesap açmak hariç.) Aslında son derece tehlikeli işler yapabilecekken sadece güvenliğinin zayıflığını ispatlamak amacıyla sayfalarda ya da sistemlerde ufak notlar bırakırlar. Diğer bir deyişle sistemi kuran kişilerle dalga geçerler. Genelde iş güç sahibi insanlar olan beyaz hackerlar bir anlamda bedava güvenlik hizmeti verirler.
Şu aralar iki üç şey öğrenen ya da IRC’de insanlara “nuke” atan herkes “ben hacker’ım” diyebiliyor.
Bu tür insanlara zayıf kişi anlamına gelen “lamer” deniliyor. Lamer’lar genelde bilmedikleri konuda biliyormuş gibi davranırlar. Ya da bir yerlerden öğrendikleri “exploit’leri” (sistem zayıflığı) önlem almadan ya da illegal amaçlar için amatörce bir yaklaşımla kullanırlar ve aslında başlarına da iş alırlar. Çünkü bu kişiler daha kolay açık verip kanun tarafından cezalandırılırlar veya sık sık kendilerini deşifre edip sağa sola meydan okudukları için işi daha iyi bilen başka birisi tarafından benzer yöntemlerle zarara uğratılabilirler. Zaten yukarıda da bahsettiğim gibi gerçek bir hacker hiçbir zaman kendini deşifre etmez.
SİZE NASIL ZARAR VEREBİLİRLER?
Bir şirkette çalışıyorsanız, kötü niyetli insanlar şirketinizdeki sistemlerde yer alan verilere erişebilirler, değiştirebilirler, hatta silebilirler. Daha da açarsak, şirketinizin müşteri kayıtlarını alabilir, muhasebe kayıtlarını değiştirebilir, bozabilir veya sisteminizde kayıtlı bulunan tekliflerinizi okuyabilirler. Veya sisteminizi kalıcı olarak işlem dışı bırakabilirler, Internet bağlantınızı bozabilirler; sisteminize Trojan’lar sokarak sanki makinalarınızın başında oturuyorlarmış gibi her ne isterlerse yapabilirler.
Hatta donanıma özel yazılımlar kullanarak makinanızdaki görüntü kartını olduğundan yüksek bir frekansta çalıştırarak monitörünüzü bile yakabilirler. İş kötü niyete döküldükten sonra her şeyin yapılması mümkün. Fakat bu söylediklerimizi uygulamak için oldukça fazla bilgiye sahip olmak gerekir.
Ev kullanıcısı iseniz, yine yukarıda anlatıldığı gibi sisteminizdeki özel bilgilere erişilmesi, silinmesi ve sisteminizin devre dışı kalması mümkün. Sadece söz konusu olan zarar verme işlemi büyük bir sisteme değil de, tek bir makinaya yöneliktir. Hacker’ların size nasıl zarar verdiğini öğrenmek istiyorsanız bu işin yöntemlerini sıralayalım:
l Spoofing: Eğer bir IRC fanatiği ya da “hack” ile ilgilenen biri iseniz, bu kelime ile çok karşılaşmış olduğunuza eminim. Spoof’un kelime anlamı oyun/parodi/kandırmak’tır. Internet aleminde ise “Spoofing” birkaç alanda karşınıza çıkar. “Spoof” genel olarak IP protokolündeki değerlerin olduğundan farklı olarak gösterilmesi demektir.
l DNS Spoofing: IRC fanatiklerinin “IP spoofing” dedikleri ama aslında gerçek ismi “DNS spoofing” (Address resolution spoofing) olan bir hack yöntemidir. DNS Spoofing, DNS sunucuların fake (sahte) ARP’lerle kandırılıp istenilen IP’nin olması gerektiğinden farklı bir şekilde çözülmesi (resolve) demektir.
Eğer bir DNS sunucusuna bir IP adresinin resolve edilmesi için “query” yapıp da, hemen arkasından çeşitli sahte paketlerle o IP’nin “spoofing.is.fun” hostuna karşılık olduğu şeklinde bilgiler gönderip DNS sunucusunu kandırabilirsek, aşağıdaki gibi bir sonuç elde edebiliriz.
Blackwind is aggressor@spoofing.is.fun * The Myth
Blackwind on @#Aggressor
Blackwind using irc.aggressor.net
End of /WHOIS list.
Aslında yukarıdaki örnekteki gerçek host name aggressor@195.174.89.63 idi. Fakat IRC sunucusuna DNS spoofing yaparak hostname’i olduğundan farklı bir şekilde gösterdik.
Birçok IRC server, kendi çapında, spoofing protection olarak, IP’yi HOST’a daha sonra da aynı HOST’u IP’ye çevirip bilgileri karşılaştırır. Eğer tutmazsa, bağlanmaya çalışan host’u, hattan keser. Tabii olayın içine DNS sunucu girince iş farklı; danıştığı DNS sunucu ona IP>HOST>IP olayını doğruluyorsa IRC sunucusunun yapabileceği hiçbir şey yok.
l IP Spoofing: IP Spoofing , IP paketlerinin source (kaynak) IP’sini değiştirmek demektir. Böylece paketi alan host’un, paketin geldiği kaynak adresi bilmesini engellemiş olursunuz. Host gelen paketin sizden değil de başka bir yerden geldiğini sanır.
l ICQ Spoof: ICQ Protokolünün spooflanması demektir, başkalarının yerine başkalarına mesaj atmak için kullanılır.
Birkaç tip saldırı türü vardır. Bunları DoS (nuke), Remote Exploits ve Trojanlar olarak ayırabiliriz.
NUKE: Nuke, sisteminizi kilitleyen, göçerten, Internet erişimini kesen ve bu gibi zararlar veren saldırılara Nuke (nükleer bombanın kısaltması gibi) adı verilir. Belli başlı nuke türlerini aşağıda açıklıyoruz. Bu saldırıları önleyecek sistem yamalarını (patch) www.aggressor.net/nukepatch adresinden çekebilirsiniz.
OOB Nuke: (Out of band Nuke ) Sadece Windows NT ve 95’de bir bug olan OOB nuke, işletim sistemi Windows olan bir makinanın 139. portuna (Netbios session port) MSG_OOB tipi bir bağlantı (connection) yapılmasıyla gerçekleşir. Eğer 95 kullanıyorsanız sisteminizin mavi ekran vererek Internet bağlantısının kopmasına, NT kullanıyorsanız sistemin durmasına yol açar.
Land: Bilgisayarı kendi kendine senkronize ettirerek, arka planda Internet meselelerini yürüten Winsock adlı programın sonsuz döngüye girmesini sağlar. Böylece farenizi bile hareket ettiremezsiniz. Kaynak IP (Source), Kaynak Port ve Hedef IP (Destination IP) IP, Hedef Port’un aynı olduğu bir IP paketi, Land saldırısının gerçekleşmesini sağlar.
Teardrop, Boink, Nestea: Internet üzerinde gelen giden veri, parçalar halinde taşınır, daha sonra işletim sistemi tarafından birleştirilen paket parçacıkları veriyi oluşturur (fragmentation). Çoğu sistemin duyarlı olduğu bu saldırı tipleri, bilgisayarınızın bozuk olarak bölünmüş 2 paketi birleştirmeye çalışması ile gerçekleşir. Boink, teardrop saldırısının ters olarak çalışan halidir. Nestea, teardrop saldırısının küçük değişimlere uğramış halidir ve teardrop ve boink saldırılarına karşı patch edilmiş Linux sistemlerinde etkilidir.
Brkill: Eğer Windows yüklü bir bilgisayara, bağlantının sonlanması ile oluşan PSH ACK tipi bir TCP paketi gönderirseniz Windows size o anki son bağlantı seri numarasını gönderir. Buradan yola çıkarak hedef makinedeki herhangi bir bağlantıyı zorla kesmeniz mümkün olur.
ICMP Nuke: Bilgisayarlar çoğu zaman aralarındaki bağlantının sağlamlığını birbirlerine ICMP paketleri göndererek anlarlar. Bu saldırı varolan bir bağlantının arasına sanki hata varmış gibi ICMP_UNREACH paketi göndererek oluşur.
Jolt/SSPing: Windows 95 ve NT’nin yüksek boyuttaki bölünmüş ICMP paketlerini tekrar birleştirememesinden kaynaklanan bir saldırı tipidir. 65535+5 byte’lık bir ICMP paketi göndermek bu saldırıyı gerçekleştirir.
SMURF: Networkler’de “broadcast address” olarak tanımlanan ve kendine gelen mesajları bütün network’e yönlendiren makineler vardır. Eğer birisi başka biri adına o makineye ping çekerse, ağ üzerindeki bütün çalışan makineler hedef olarak belirlenen makineye ping çeker. Smurf, bu işlemi yüzlerce broadcast makineye tek bir kaynak IP adresinden ping çekerek saldırı haline çevirir. Bir anda bilgisayarlarınıza on binlerce bilgisayarın ping çektiğini düşünürsek değil sizin şirketinizin bağlantısı, maalesef Turnet (Türkiye Internet omurgası) çıkış gücü bile buna cevap vermeye yetmez ve bağlantılarınız kopar.
Suffer: Suffer saldırısı bilgisayarınıza sanki binlerce farklı bilgisayardan bağlantı isteği geliyormuş gibi SYN paketleri gönderir. Bu saldırının sonunda Windows yeni bağlantılar için yeterli hafıza ayıramaz ve kalan hafızayı da bitirir. Bazı firewall türleri de böyle bir durum karşısında binlerce soru kutucuğu açarak makinenin kilitlenmesine sebep olur.
EXPLOIT’LER: Exploit’in kelime anlamı “kötüye kullanma, sömürme” demek. Yani sisteminizin normal bir özelliğinin bir açığını yakalayarak, bunu kötüye kullanabilir, sisteminizdeki, bilgilere ulaşabilirler. Exploitler genelde sistem tabanlı olarak çalışırlar yani Unix’e ait bir exploit Windows için çalışmaz. Bu güne kadar bulunan yaklaşık olarak 1000’in üzerinde exploit var. Ve bunların hepsinin nasıl çalıştığını anlatmamız güvenlik sebeplerinden dolayı mümkün değil. Fakat çok popüler olan bir kaç tanesinden bahsedeceğiz.
Windows Null Session Exploit: Windows işletim sistemi, dışarıdaki kullanıcılara network üzerinde hiç bir hakka sahip olmadan oturum, kullanıcı ve paylaşım bilgilerini (session, user ve share) verir. Ve ne kadar ilginçtir ki, bu exploit, Windows Network API’sinde belgelenmiş ve feature (özellik) olarak gösterilmiştir. Kötü niyetli birisi bu exploit’i kullanarak sistem hakkında çok kritik bilgiler sahibi olabilir. Yandaki çerçeve içerisinde bir exploit örneği veriyoruz:
PHF Exploit: Bu exploit oldukça eski olmasına rağmen halen karşılaşabileceğiniz bir güvenlik açığıdır. Phf cgi yardımı ile sistemdeki dosyalara admin olarak erişebilirsiniz.
Yukarıdaki örnek Unix işletim sistemi ya da türevini kullanan bir makineden kullanıcı bilgilerinin ve şifrelerinin bulunduğu passwd dosyasını görmenizi sağlar.
ASP Exploit: Active server page (ASP) özelliği kullanan Web sunucularda URL’nin sonuna bir nokta (.) yada ::şDATA yazarak ASP’nin içeriğini (source code) görebilirsiniz. Eğer ASP’nin içerisinde her hangi bir şifre varsa bu exploit çok tehlikeli olabilir.
http://www.aspkullananserver.com/
default.asp. ya da
http://www.aspkullananserver.com/
default.asp::şDATA
Sendmail Exploit: Eski “send mail” sürümlerinde bir kaç basit hile ile sistemin şifrelerinin tutulduğu dosyayı çekmeniz mümkün. Ayrıca sistem kullanıcıları hakkında bilgi almak (EXPN) ya da bir kullanıcı isminin o sunucuda olup olmadığını da öğrenmek mümkün (VRFY).
telnet mail.server.com:25
ICQ Tabanlı Exploitler: Son derece zayıf bir mimariye sahip olan ICQ sistemi, kolayca taklit edilebilen hatta gerçek “spoofing” bile yapmanıza gerek kalmayan bir sistemdir. ICQ kullanıcıları kolayca mesaj bombasına tutulabilir, şifreleri değiştirilebilir, onaya gerek kalmadan listenize alabilir, IP’si kullanıcı istemese bile görülebilir ya da ICQ chat yaparken mesaj taşması (flooding) yapılabilir.
Ve Diğerleri: Snork, cachecow, ADMmountd, mountd, faxsurvey, vintra, hotmail_exploit1-2, ioconfig, lpd-rm, dilloncrond, nameserver_dead, lpd-mail, imapd4, binfo-udp, pinebug, mailxploit, newxterm, mailex, metainfo, xterm_exploit, dip3.3.7overflow-exploit, coke ve daha isimlerini bile saymaya sayfalarımızın yetmeyeceği bir çok exploit bulunuyor.
DOSYA VE YAZICI PAYLAŞIMI: Windows 95/98 ya da NT’de paylaşıma açtığınız disk ya da klasörlerin okuma-yazma izinlerine çok dikkat etmelisiniz. Şifresiz (Şu an hala bir çok ISS’nin pub klasörünü tüm dünyaya yazma izni vererek paylaşıma açması gibi) ya da kolay tahmin edilebilecek (kullanıcı ismi ile aynı) bir şifre ile paylaşıma açılan disk ya da klasörlerin her türlü saldırıya açık olması gibi durumlar başınızı oldukça ağrıtabilir.
Windows Başlat (Start) menüsünde Çalıştır’a (Run) tıkladıktan sonra \\IP_NUMARASI yazıp Enter’a basarsanız, IP’sini yazdığınız makinede paylaşıma açık olan yerleri görebilirsiniz. Ya da Windows’un içinde var olan NET komutunu kullanarak (NET VIEW \\IP_NUMARASI) yine paylaşıma açık yerleri görebilir ve yine aynı komutla onlara bağlanabilirsiniz. (NET USE J: \\IP\paylaşım_ismi). Ayrıca Linux yüklü bir makineniz varsa, smbclient programı ile ayni işlemleri yapabilirsiniz. Fakat bunu kullanabilmeniz için Windows’unuzda Dosya ve Yazıcı Paylaşımı’nın (File and Printer Sharing) yüklü olması lazım. Bunu da Denetim Masası*Ağ’dan ekleyebilirsiniz. Unutmayın: Dosya ve Yazıcı Paylaşımını yüklerseniz, size de aynı şeyleri yapabilirler. Bu tip bir tehlikeden korunmak için paylaşımlara sağlam bir şifre (anlamsız harfler + rakamlar + hem büyük hem küçük harf) koymak kesin çözüm!
TROJAN’LAR: Trojan programların makinenize girmesi için, önce birilerinin sizi kandırması gerek. Eğer çok iyi tanımıyorsanız yahut muzur bir insan olarak değerlendirdiğiniz birileri size “güzel bir program buldum, bir baksana” derse kesinlikle kabul etmeyin. Büyük ihtimalle makinenizin uzaktan kontrolünü sağlayacak olan bir trojan’ın sisteminize bulaşması söz konusu.
Aslında programcılık kabiliyeti olarak pek fazla bir şey gerektirmeyen ve pasif bir FTP sunucu gibi çalışan çoğu trojan’ı sisteminizden silmeniz çok kolay. Sadece gerekli tarayıcı programı çekmeniz ve çalıştırmanız yeterli olacaktır. Trojan yok etme programlarını http://www.aggressor.net/trojan adresinden çekebilirsiniz.
En ünlü bir kaç trojan’ın arasında Netbus, BackOrifice, Socket de troile, Masters paradise gelir. Aslında trojan mantığı bir gün virüs mantığı ile birleşirse o zaman çok büyük tehlikeler söz konusu olacaktır. Fakat şimdilik biraz açık gözlü olmak, iyi tanımadığınız kişilerden program almamak, trojan’lardan korunmak için yeterli.
Bilgisayarınızın hack edildiğine dair bazı işaretler vardır.
1. Bilgisayarınızı açtığınızda karşılaştığınız mesajlar. Etraftaki birinin size şaka yapmadığından eminseniz ve bilgisayarınızı açtığınızda “Bilgisayarınız hack edilmiştir” tarzı bir mesajla karşılaşıyorsanız, bu mesajı kimin bıraktığı açıktır.
2. Sabit diskten gelen alışılmadık sesler. Internet’e bağlı olduğunuz süre zarfında, siz bir şey yapmamanıza rağmen sabit diskinizden bir şey yükleniyormuş gibi sürekli olarak gelen sesler, bir hacker’ın o sırada sabit diskinizdeki bazı dosyaları karıştırdığına gösterge olabilir. Tabii burada bir Internet sayfası açarken, karşıdan dosya yüklerken veya bir program bir dosyayı açarken gelen doğal seslerden bahsetmiyoruz; bilgisayarını uzun süre kullananlar bu doğal sesleri zaten tanırlar.
3. Disket sürücüsünün çıkarttığı sesler. O anda kullandığınız hiçbir program disket sürücüsüne ulaşmaya çalışmamasına rağmen disket sürücüsü içinde bir disket varmış gibi sesler çıkartıyorsa, bu PC’nize sızmış bir hacker’ın sürücüde disket aradığını gösterebilir.
4. CD-ROM sürücünüzün açılıp kapanması. Bu, hackerların en sık yaptığı esprilerden biridir. Siz fiziksel olarak veya bir program aracılığıyla hiçbir müdahale yapmamış olmanıza rağmen CD-ROM’unuz açılıp kapanıyorsa, muhtemelen bir hacker size “şaka” yapıyordur. Gülümseyin!!!
5. Kendi kendine kaybolan dosyalar. Bir takım özel dosyalarınız esrarengiz şekilde kaybolduysa ve onları Geri Dönüşüm Kutusu’nda bile bulamıyorsanız, bir hacker’ın kötü niyetinin kurbanı olduğunuzdan şüphelenebilirsiniz. Tabii bir hacker’a suç atmadan önce kendinize sormanız gereken bazı sorular var. Bilgisayarınızı Başlat*Oturumu Kapat komutuylamı, yoksa düğmesinden mi kapatıyorsunuz? Çok sık olmasa da, Windows’un alışılmadık şekilde kapanması bazı dosyalara (veya FAT’e) zarar verebiliyor. Bilgisayarı en son kapatmanızdan önce hiçbir program hata mesajı verdi mi? Hata mesajı vererek kapanan programlar, kendileriyle ilgili dosyalara zarar vermiş veya onları silmiş olabilirler. Mesela Word’ünüz alışılmadık hata mesajlarıyla kapanmışsa ve bilgisayarı tekrar açtığınızda üzerinde en son çalıştığınız .doc dosyalarını bulamıyorsanız, bunun suçlusu Word olabilir. Bilgisayarı ortak kullandığınız kişiler kaybolan dosyaları silmiş olabilirler mi? Eski sürümlü bir program yüklemeyi denediniz mi? Bilgisayarınıza yükleyeceğiniz eski versiyonlu bir program, kendi eski sistem dosyalarını sizinkilerin üzerine kopyalayabilir. Bu durumda daha yeni versiyonlu programlar eski sistem dosyalarıyla çalışamayacaklardır ve size bazı sistem dosyalarının eksik olduğuna dair mesaj verebilirler. Bu da bir hacker’ın değil, eski sürümlü programınızın suçudur. Sisteminizden paylaşımlı sistem dosyaları kullanan bir programı tamamen kaldırdınız mı? Programların ortak kullandıkları sistem dosyaları vardır. “Program Ekle/Kaldır”ı kullanırken , silmek istediğiniz programın diğer programlarla ortak kullandığı sistem dosyalarını da silmiş olabilirsiniz. Bilgisayarınız paylaşılan bir sistem dosyasını silmeden önce bu konuda sizden onay alır; söz konusu sistem dosyasının silinmesini onaylamışsanız ve onu kullanan başka programlar “Sistem dosyası bulunamadı” hatasını veriyorsa, bunun suçlusu bir hacker değildir.
Nuke yememek için patch’leri çekmeniz yeterli olacaktır. Fakat bazı nuke’lerin henüz patch’i yok. Bazılarından ise patch ile kurtulmak mümkün değil. O yüzden iyi bir firewall satın almanız bilgilerinizi ve sinir sisteminizi korumak için en mantıklı yöntem gibi görünüyor. Yine de, PC’nizin saldırıya açık olmaması için alabileceğiniz önlemleri sıralayalım:
Eğer Windows kullanıyorsanız, sisteminizdeki bir klasörü ya da sürücünüzü paylaştırırken mutlaka erişim izin özelliklerini gözden geçirin.
Windows NT ya da 95/98, siz müdahele etmezseniz paylaşıma açtığınız diski tüm dünya ile paylaştırır. Erişim izni olamayan bir paylaşıma çok az Internet bilgisi olan birileri kolayca ulaşabilir. O yüzden çok fazla medyayı paylaşıma açmayın. Erişim izin sisteminin de açık bir noktası olabilir.
IRC’ye bağlanırken File-Print Sharing (Dosya-Yazıcı Paylaşımı) opsiyonunu hiçbir şekilde açık bırakmayın. Paylaşım olayı en tecrübesiz hacker’a bile bilgisayarınıza %100 hükmetme şansını verir. Bir şekilde paylaşımı açık bırakmanız gerekiyorsa, en az 6 karakterden oluşan ve içine büyük-küçük harflerle sayılar karıştırılmış güçlü bir şifreyle bilgisayarınızı korumayı ihmal etmeyin (örneğin Qft2EWs3).
Network yönetim hakkını tek bir kullanıcı hesaba yönlendirin ve o hesabı sadece sistem yöneticisinin kullanmasını sağlayın.
Sürekli olarak bir güvenlik danışmanı ile bağlantı kurun. Siz bu yazıyı okurken bile yeni exploitler bulunmakta.
Nuke patch’leri için http://www.
aggressor.net/nukepatch; Trojan Cleaner’lar için http://www.aggressor.net/trojan adresini ziyaret edebilirsiniz.
Wingate çalışırken IRC’ye bağlanmamaya özen gösterin, çünkü Wingate’deki bir bug, başkalarına PC’nize sızma şansını verebiliyor.
Başkalarından gelen .ini , .com veya .exe dosyalarından hiçbirini kabul etmeyin. Dosyayı yollayan kişi size eline geçen komik animasyonu göstermek isteyen iyi niyetli bir dostunuz bile olsa, dosyanın ilk kaynağının PC’lere sızmak için fırsat kollayan bir hacker olup olmadığından ve içinde bilgisayarınıza elini kolunu sallayıp girebilmesini sağlayacak bir trojan barındırmağından asla emin olamazsınız.
Bugünlerde, bir .exe veya .com dosyasının içine gizlenmiş bir trojan ile portlardan birinde açık sağlamak ve bu porttan çalışan bir programla başka bir PC’ye tamamen hükmetmek tehlikeli derecede yaygın bir hal aldı. Firewall veya benzeri bir programla bilgisayarlarını koruyan kullanıcılar için, hackerların en sık kullandıkları programların isimlerini ve bu programların PC’lere sızarken kullandıkları portların numaralarını aşağıda veriyoruz. Verdiğimiz portlardaki Inbound ve Outbound bağlantıları engellemek, bu programları kullananların PC’nize girmesini önleyebilir (tabii siz yine de başkalarından gelen .exe, .com ve .ini dosyalarını almamaya özen gösterin).
NETBUS: 12345. portu kullanıyor. Sadece fare kullanmasını bilen biri bile bu programla karşı PC’ye tamamen hükmedebileceği için oldukça popüler.
BACK ORIFICE: Belki de en tehlikeli program. Normalde 31337. porttan bağlanıyor, ama kullanıcıya trojanı istenilen şekilde modify etme şansı verildiği için 1’den 65555’e kadar her portta tehlike söz konusu. Trojan kendisini çok çok iyi gizlediği için birilerinin PC’nizde gezindiğini fark etseniz bile eliniz kolunuz bağlı kalabiliyorsunuz. Ama merak etmeyin, http://www.hotfiles.com veya http://www.download.com’dan kolayca bulabileceğiniz BOdetect adlı program sisteminizdeki Back Orifice ile ilgili trojanları bulup temizliyor.
HACKERS PARADISE: 456. portu kullanıyor. NetBus’tan biraz daha karışık, ama tek bir tıklamayla bağlanılan bilgisayarın ISS şifrelerini almayı mümkün kılıyor.
MASTERS PARADISE: 40421. portu kullanıyor. Bu program ile karşıdaki PC’ye hükmetmek için trojan yeterli değil, aynı zamanda hükmedilecek PC’de yardımcı bir programın çalışıyor olması lazım. Karşı tarafın haberi olmadan PC’sine girmek mümkün olmadığından çok kullanılmıyor.
SOCKETS DE TROJE: 30303. portu kullanıyor. Programda ICQ-bomb, ICMP Flood gibi başka saldırı şekillerine ve Telnet’e de yer verilmiş. Programı kullanmak için biraz da olsa Fransızca bilmek gerekiyor.
Bunların dışında bir de IRC ortamında kendi kendilerini başka PC’lere otomatik olarak yollayan trojanlar var. DmSetup.exe ve Script.ini, bu trojanların en eskileri ve en ünlüleri. Eğer aynı kanalda bulunduğunuz kişiler kendilerine DmSetup.exe, Script.ini veya benzeri bir dosyayı gönderdiğinizden şikayet ediyorlarsa (tabii trojan kendi kendini yolladığı için sizin bundan haberiniz bile olmayacaktır), ilk önlem olarak mIRC folderınız altında bulacağınız o kendi kendini yollayan dosyayı silin ve mIRC’de “/remote off” komutunu kullanın. Tam garanti için ise mIRC’inizi tamamen silip yeniden yüklemeniz gerekir.
Ayrıca IRC serverına bağlandığınızda adresinizde “typehere” yazması da mIRC’inizde trojan olduğunu gösterir. Bunu görmek için bulunduğunuz kanalın nickname listesinden kendi nick’inizin (takma isminizin) üzerine çift tıklayarak kendi kendinize Query (yani Whisper) açın ve açılan pencerede bir şeyler yazın; pencerenin üzerinde çıkacak adres “typehere@(Ip Adresiniz)” formatında değilse her şey yolundadır. Typehere yazısını görürseniz, yine mIRC’inizi tamamen silip yeniden yükleme vakti gelmiştir.
mIRC programı için geliştirilen Camel, MafiaScript, LittleStar gibi bazı scriptlerde yer alan CtcpReply bug’ı, bu scripti kullandığınızı fark eden ve bug’ı kullanmayı bilen kişilere size hükmetme şansını verir. Bundan korunmanın en güvenli yolu, http://www.mirc.co.uk adresinden çekeceğiniz scriptsiz mIRC’yi kullanmak.
Bilgisayarınızda o anda davetsiz bir misafirin gezindiğini anladığınızda, yapmanız gereken ilk şey Internet bağlantınızı kesmektir. Internet’te önemli bir işiniz olduğu için bağlantınızı bir hacker’ın hedefi olduğunuzdan tamamen emin olmadan kesmek istemiyorsanız, şu yolu izleyin.
Başlat*Programlar menüsünden MS-DOS Komut İstemi penceresini açın. MS-DOS Komut İstemi penceresinde netstat -a yazın. Bu, bilgisayarınızın o anda hangi IP adreslerine, hangi portlardan bağlı olduğunu gösterir. Eğer doğal olarak bağlı olduğunuz yerlerin dışında (mesela IRC serverları, ICQ serverı, DCC Chat-ICQ Chat bağlantıları, WEB siteleri, FTP serverları, vs.) başka bağlantılara rastlamazsanız, korkacak bir şey yoktur.
1. Peki, netstat komutuyla rastladığımız bir bağlantının doğal olup olmadığını nasıl anlayacağız? Öncelikle bağlantıların portlarını gözden geçirin. Internet üzerinde en çok kullanılan protokoller ve kullandıkları portlar şunlardır: 80 http (Web sayfalarına bağlanmak için kullanılan port), 21 ftp (FTP serverlarına bağlanmak için kullanılan port), 23 telnet (Telnet ile başka sistemlere bağlanmak için kullanılan port), 25 mailto (e-mail atmak için kullanılan port), 110 POP3 (e-mail almak için kullanılan port), 6660-7000 IRC (IRC serverlarına bağlanmak için kullanılan genel portlar), 4000 ICQ (ICQ, servera ilk bağlantısında bu portu kullanır), 1000-1080 ICQ (ICQ, servera bağlandıktan sonra bu portlardan birini kullanır) PC’niz bir proxy, yerel ağ, vs. üzerinde yer almıyorsa veya bu tür ağlar için kullanılan programlardan birini çalıştırmıyorsa, bu portlarda gözüken bağlantılarda genelde tehlikeli bir durum sözkonusu değildir. Ancak hackerların sık sık kullandıkları portlardan birinden yapılmış bir bağlantınız varsa (456, 31337, 12345, 30303 gibi), davetsiz bir misafirinizin olma ihtimali çok yüksektir.
2. Tehlikeli bir port gözükmemesine rağmen bir bağlantıdan şüphelenirseniz, şüphelendiğiniz bağlantının karşısında yazan IP adresini bir yere not alın. Söz konusu IP adresinin 194.242.74.130 olduğunu farz edersek, mIRC üzerinden bir IRC sunucusuna bağlıyken /dns 194.242.74.130 komutunu kullanmanız gerekir. Bu komut, size o adresin açılımını verecektir (mesela dialup03.fornet.tr, hotmail.com, microsoft.com, vs.). Eğer adresin açılımı o anda bağlı olduğunuz bir IRC, ICQ, WEB, FTP, vs. serverı ise herşey yolundadır. Ancak bir ISS (Internet Servis Sağlayıcısı) ismi içeren bir adresle karşılaşırsanız, bu Internet üzerinde bulunan başka bir PC ile bağlantı halinde olduğunuz anlamına gelir. (O anda bir arkadaşınızla dosya transferi yapıyorsanız, mIRC içinde aktif DCC Chat pencereniz varsa veya ICQ Chat tarzı bir sohbet ortamındaysanız, bu bağlantının olması doğaldır). Bu durumda, o IP adresinin sahibini tespit etmelisiniz. Şüphelendiğiniz kişi ICQ’da online ise, ICQ listesinde o kişinin nickinin üzerine tıkladığınızda açılan menüde INFO komutunu seçin, bu size o kişinin IP adresini verir. MIRC’de ise, /dns NICKNAME komutunu kullanarak şüphelendiğiniz kişilerin IP adresini öğrenebilirsiniz. Eğer mIRC’de şüphelendiğiniz belli biri yoksa, sadece IP adresinin sahibinin o anda sizin bulunduğunuz IRC sunucusunda olup olmadığını görmek istiyorsanız, /who 194.242.74.130 /who dialup03.fornet.tr komutlarını kullanarak STATUS başlıklı pencerenizi izleyin (tabii buradaki IP adresi ve açılımı sadece örnek, siz netstat penceresinde gördüğünüz IP adresini ve açılımını kullanmalısınız). Aradığınız IP adresinin sahibi ile aynı IRC sunucusundaysanız, mIRC bunu size söyleyecektir. PC’nizle bağlantı kurmuş kişiyi tespit ettikten sonrası size kalmış. Onunla konuşabilirsiniz, konuşmadan bağlantınızı kesebilirsiniz, ya da bağlantılarınızda neden onun adresinin gözüktüğünü sorabilirsiniz (belki de sadece kimliğinize bakan iyi niyetli biridir).
PC’nizin hack edildiğinden eminseniz, bağlantınızı kestikten sonra hack edildiğiniz açığı kapatmadan sohbet ortamına yeniden girmemenizi öneriyoruz. Mutlaka girmeniz gerekiyorsa da, bütün kimlik bilgilerinizi değiştirmeyi ihmal etmeyin. Windows 95 kullanıcıysanız, IRC hackerları PC’nize sızmak için genelde iki açık ararlar: Dosya Paylaşımı ve Trojan. Önce, sisteminizde bunlardan hangisinin yer aldığını bulmanız gerekir.
Dosya paylaşımınızın açık olup olmadığını görmek için, Denetim Masası’nda Ağ üzerine çift tıklayın. Açılan ekranda “Dosya ve Yazıcı Paylaşımı” yazan düğmeye tıklayın ve karşınıza çıkacak menüdeki iki kutucuğun boş olduğundan emin olun. Eğer kutucuklar dolu ise, bu başkalarına erişim hakkı verdiğinizi gösterir. Dolu kutucukları boşalttıktan sonra, PC’niz Windows 95 CD’nizi bazı sistem dosyalarını yüklemek üzere isteyebilir DİKKAT: Eğer ağ, proxy, vb. gibi bir sistem üzerindeyseniz, “Dosya Paylaşımı”nın açık olması gerekiyor olabilir. Bu durumda sistem yöneticinizle konuşun.
Sisteminizde trojan aramak ise biraz daha uzun bir işlemdir. Öncelikle Başlat*Bul*Dosyalar veya Klasörler menüsüne girin. Ad kutucuğuna *.exe yazın, Konum kutucuğuna ise sabit disklerinizin isimlerini yazarak hepsini aratmalısınız. Aramanın sonucu olarak karşınıza birçok .exe dosyası çıkacaktır. Bu konumda, dosyaların başlarında yer alan ikonlara dikkat etmelisiniz. Trojanlar genelde iki ikonla kendilerini belli ederler: 1. Meşale ikonu. Mavi bir daire üzerinde yer alan eğri bir meşale ikonu görürseniz, bu ikonun sahibi çok yüksek ihtimalle bir trojandır. 2. Boş ikon. Bir .exe dosyasının ikonu yoksa, bu da muhtemelen Back Orifice trojanıdır. Eğer sisteminizde trojan bulamazsanız, IRC hackerlarının çok yüksek bir yüzdesinden korkmanıza gerek yok demektir. Çünkü çoğu sistemi bilmeden, sadece ellerine geçen 1-2 programda fare tıklamaları ile sisteminizde hakimiyet kurarak egolarını tatmin eden kişilerdir. Trojanı veya dosya paylaşım açığı olmayan bir Windows 95 makinasına sızmak, bu kişiler için mümkün değildir.
PC’nizde boş ikonlu bir Back Orifice trojanı bulursanız (bu dosyanın ismi herhangi bir şey olabilir), hemen http://www.hotfiles.com http://www.download.com adreslerinden birinden çekeceğiniz BoDetect programıyla sisteminizi tarayın. Trojan dosyasını silmeniz asla yeterli olmayacaktır, Back Orifice’dan tamamen kurtulmak için BoDetect’i kullanmalısınız (NOT: IRC ortamında aslında Back Orifice trojanının ta kendisi olan sahte BoDetect dosyaları elden ele iletiliyormuş, bu yüzden başkalarından gelen BoDetect programlarına güvenmeyin.)
* PC’nizde meşale ikonlu bir trojana rastlarsanız, bu NetBus veya Hackers Paradise türü tek port kullanan bir programa ait demektir. Bulduğunuz trojan dosyasının isminin PATCH.EXE olduğunu farz edersek, ondan kurtulmak için şu yolu izlemelisiniz.
1. Öncelikle Patch.exe’yi ve diğer bütün meşale ikonlu dosyaları silin.
2. Başlat*Ayarlar*Görev Çubuğu*Başlat Menüsü Programları*Gelişmiş menüsünü açın. Açılan pencerede Programlar*Başlangıç (Programs*Startup) klasörlerinde meşale ikonlu herhangi bir kısayol olup olmadığına bakın; varsa hemen silin.
3. Başlat*Çalıştır menüsüne girerek regedit yazın ve Tamam düğmesine tıklayın. Açılan pencerede Düzen*Bul menüsüne girerek Anahtarlar, Veriler ve Değerler kutucuklarının işaretli olduğundan emin olduktan sonra Aranan: kısmına Patch.exe yazarak Sonrakini Bul düğmesine tıklayın. Registry’nizde her bulacağınız Patch.exe dosyasını silin, ve sildikten sonra F3 tuşuna basarak aramaya devam edin. Windows “Kayıt İçinde Arama Tamamlandı” mesajını verdiğinde, bütün Patch.exe verilerini sildiğinizden eminseniz, Registry Editor pencerenizi kapatın.
4. Başlat*Çalıştır menüsüne girerek C:\windows\sys-tem\sysedit.exe yazın. Açılan pencerelerin hiçbirinin Patch.exe ile ilgili kayıt içermediğinden emin olun, olan kayıtları da sildikten sonra Dosya*Kaydet komutuna tıklayın.
Bunları yaptıktan sonra trojandan kurtulmuş olmalısınız. Tabii trojan dosyasının ismi herhangi bir şey olabilir, Patch.exe’yi yalnızca örnek olsun diye verdim. Ayrıca, çok popüler olarak kullanılan ICQkill adlı program da aslında bir trojandır. Bir kere bu programı çalıştırdıysanız, c:\windows\system\ explorer.exe dosyasını silerek etkisiz hale getirebilirsiniz. Sisteminizi güvenli hale getirdikten sonra güvenli kalması için ise, başkalarından gelen .exe veya .com dosyalarından hiçbirini kabul etmemeyi unutmayın.
Bunlar tabii ki sadece en çok bilinen yöntemlerden korunma yolları. Internete bağlı hiçbir bilgisayarın tamamen güvenli olduğu iddia edilemez, sonuçta PC’lere sızmak için sürekli olarak yeni buglar ve yeni yöntemler arayan insanların olduğu açık. Bunlar tabii ki sadece en çok bilinen yöntemlerden korunma yolları. Internete bağlı hiçbir bilgisayarın tamamen güvenli olduğu iddia edilemez, sonuçta PC’lere sızmak için sürekli olarak yeni buglar ve yeni yöntemler arayan insanların olduğu açık.
Yukarıda hack yöntemlerinden ve bunların bazılarından Web’i sıkı takip edip, yamaları indirip kurarak korunabileceğinizden bahsettik. Ancak hem bu yamaları sürekli takip etmeniz zor, hem de her zaman istediğiniz kaynaklara ulaşamayabilirsiniz. Üstelik bu yamaların bulunduğu çoğu sitenin adını vermeyi pek istemiyoruz; çünkü yamaların bulunduğu yerlerde genelde hack programları da yer alıyor. Bu iş için güvenilir, tümüyle kötü niyetli hacker’ların açabileceği zararlara karşı önlem almaya yönelik bilgiler ve kaynaklar sunan Web sitelerine ihtiyaç var.