Anasayfa / Teknoloji / Botnet Nedir, Botnet Nasıl Çalışır, Botnetlerin İç Yüzü

Botnet Nedir, Botnet Nasıl Çalışır, Botnetlerin İç Yüzü




Botnet Nedir, Botnet Nasıl Çalışır, Botnetlerin İç Yüzü

Online suç dünyasına detaylı bir bakış atarak modern dijital suçluların gerçek gücünü keşfediyoruz.

Online suçluların nasıl çalıştıklarını hiç merak ettiniz mi? Nasıl ve neden bilgi çalıyorlar? İnceleme imkânı bulduğumuz özel bir raporda, kişisel veri hırsızlığında suçluların nasıl çalıştığına dair son derece ayrıntılı bir bakış sunuluyor.

Bu dosyadaki amacımız, özellikle aktif internet kullanıcılarının baş belası bu suçluların nasıl çalıştıklarını anlamak. Bu sayede tam olarak ne tür bilgilerin peşinde olduklarını ve bunun kamuoyu için ne derece bir tehdit oluşturduğunu açığa çıkarmak. Suçun arkasındaki güdüm ve doğru savunma arayışı anlamında, bu yazımızda söz konusu tehditlerle ilgili olarak daha derin bir anlayışa sahip olmanıza yardım etmeye çalışacağız.

Bu dosyada temel aldığımız “Zeus Açığa Çıkıyor” isimli raporu hazırlayan güvenlik firmasının adı PrevX. Rapor, internette bulunan bir bilgisayardan kopyalanan verinin analizini içeriyor. Bu bilgisayar, PrevX tarafından “Q6” olarak adlandırılan bir hack’lenmiş bilgisayarlar ağı için veritabanı görevi yürütüyordu. Bu ağ (daha doğrusu botnet) dâhilinde yer alan 37 binden fazla virüslü PC, suçlular tarafından amaçları doğrultusunda kullanılıyordu. Bu botnet, PrevX’in kopyasını elde ettiği tarihe kadar en az 30 GB’lik çalıntı bilgi üretmiş. Bu bilgi yığınının ne derece büyük olduğuna dair ipucu vermek gerekirse; Tolstoy’un Savaş ve Barış kitabının 100 adet dijital kopyasını indirdiğinizi düşünün. Bu yolla elinize geçecek olan devasa bilgi miktarı bile, bu botnet tarafından çalınan veri miktarının sadece yüzde birine denk geliyor.

Botnet’lerin geçmişi

Burada incelediğimiz suç eylemi, kişisel verilerin çalınması ve nakde çevrilmesi etrafında yoğunlaşıyor. Değineceğimiz konular arasında kurbanların nelere maruz kaldığı ve daha çok kimlerin hedef alındığı da yer alıyor. İsterseniz ilk olarak tipik bir kullanıcının nasıl siber suçluların ağına düştüğüyle başlayalım.

İnternet suçluları kurbanlarının bilgisayarlarına gizlice yazılım yüklemekle tanınıyorlar. Bazen bu yazılım çok basit olup, başka yazılım parçaları indirmek dışında neredeyse hiçbir şey yapmıyor. Sonradan indirilen bu dosyalarsa daha zararlı olabiliyor ve klavye tuşlamalarını kaydetme (buna girdiğiniz parolalar da dâhil oluyor), web aktivitelerinin kaydedilmesi ve banka hesaplarına ait önemli verilerin taranması gibi eylemler gerçekleştirebiliyorlar. Yüklendikten sonra, bu yazılımlar kendilerini güncelleyebiliyor ve yeni görevler gerçekleştirebiliyorlar.

Suçluların yazılım kurmak için kullandığı iki yaygın yöntem bulunuyor. En çok denenen ve güvenilen yöntem, bir şekilde aldatılan kullanıcının kötü niyetli yazılımı kendi elleriyle kurması. Kurbanları kurulumun “Çalıştır” düğmesine basma yönünde aldatabilen pek çok yöntem bulunuyor. Yaygın yöntemlerin arasında, UPS ve FedEx gibi ciddi firmalardan geliyormuş süsü verilen eklenti yüklü e-postalar göndermek, ilgi çekici videoları paravan olarak kullanan web sitelerinin linklerini “paylaşmak” ve önemli yazılım paketlerinin güncellemeleri olduğu iddia edilen programlar dağıtmak bulunuyor. Bu programların herhangi birini çalıştırmak, sistemin “enfekte” olmasıyla sonuçlanıyor.

Kendi işini kendin gör

Bir botnet yöneticisi olmak çok pahalıya patlamıyor. “Piyasa” temel alındığında, yaklaşık 500 avroya gerekli yazılımları temin etmek mümkün. Tıpkı yasal yazılımlarda olduğu gibi bu alanda da daima geliştiricilerin emeğinden faydalanan ve “çakma” sürümler satanlar oluyor.

“Korsana karşı savaş” ekseninde trojan ve benzeri kötü yazılım geliştiricilerinin işi, yasal meslektaşlarına nazaran çok daha zor. Bunun nedeni, büyük şirketlerdeki benzer teknik kaynaklara sahip olmamaları ve (belki de en önemlisi) kendilerini kollayacak bir kanundan mahrum olmaları. En son istedikleri şey takip edilmek; bu yüzden etkinleştirme sunucusu işletmeleri söz konusu bile değil (en azından bu işi üstlenecek dinamik botnet misali bir şeyin nasıl kullanılacağını bulmalarına kadar).

Güvenlik firması Symantec’e göre bu problemin çözümü, “tüketicileri” antivirüs şirketlerine satmakla tehdit etmek. Konuyu açacak olursak, eğer Zeus Trojan’ın değiştirilmiş bir sürümünü satın alır ve tekrar satarsanız veya ters mühendislik yapmaya kalkışırsanız lisans anlaşmasını ihlal etmiş oluyorsunuz. Bu gibi bir durumda, kurnaz geliştiriciler trojan kopyanızı güvenlik firmalarına göndererek kullanışsız hâle gelmesine neden oluyorlar. Symantec, Zeus Son Kullanıcı Lisans Anlaşması’nın aşağıdaki şu ikazına dikkat çekiyor: “Anlaşma ihlali ve tespit edilme durumlarında istemci tüm teknik desteği kaybeder. İlaveten, programınızın ikili kodu hemen antivirüs şirketlerine gönderilir.”

Anlaşılıyor ki bu yaklaşım da pek işe yaramamış. Bu yazılımın kopyaları, sürülüşlerinin hemen ardından internet forumlarında takas ediliyordu ve yıllar sonra bu hâlâ aynı şekilde devam ediyor.

Ortalama bir çaylak suçlu bu yazılımın bir kopyasını ele geçirdiğinde kendi kötü niyetli yazılımını inşa edebiliyor. Sağ köşede bulunan resim, bu işlemin bir bölümünü sergiliyor. Gördüğünüz gibi bu, oldukça basit birkaç tıklamadan öte bir şey değil.

Ayarları değiştirerek Zeus Trojan’ı yapılandırmak çok da zor değil. Zeus Builder arayüzü, kullanıcılara farklı yapılandırmalar kurma olanağı sağlıyor.

Geriye yatırım gerektiren tek bir aşama kalıyor, o da trojan’ı dağıtmaya yardım edecek birine ödeme yapmak. Muhtemelen bu aşamada yazılım, ikna edici e-postalara ekleniyor, paravan sitelerde depolanıyor ve insanları bu sitelere yönlendirecek bir spam kampanyası başlatılıyor. Bu alanda gelişen yeraltı ekonomisi sayesinde, dijital suç kariyeri yolunda ilerleyenler artık kodlama, dağıtım ve kontrol gibi görevlerle uğraşmak gibi bir zorunlulukla yükümlü değiller. Daha kolayını düşlemek zor… Gene de bazıları (genellikle ekstra kazanç için) bu görevleri yerine getirmede istekli ve ehliyetli olabiliyorlar.

Daha teknik bir yöntem, kullanıcıları virüslü web sitelerine yönlendirmekten geçiyor. Bu sayede kullanılan “drive-by” indirme teknikleriyle kötü niyetli yazılımlar ziyaretçilerin bilgisayarına sezdirmeden kuruluyor. Bu yöntemin işleyebilmesi için kullanıcının bilgisayarında güvenlik kusuru barından yazılım bulunması gerekiyor. Eğer web tarayıcınızın veya Adobe Reader, Adobe Flash ya da QuickTime gibi çevrimiçi aparatların eski bir sürümünü kullanıyorsanız, en basitiyle bir web sitesini tarayıcınızda açmanız bile sisteminizin “teslim olması” için yeterli olabiliyor. Çoğu durumda bilgisayarınızın hack edildiğinden haberiniz bile olmuyor.

Gizli yazılım sisteme nasıl bulaşırsa bulaşsın, yerleştiği sistemden kişisel verileri toplamaya başlıyor ve internetteki bir veya birden fazla sunucuya gönderiyor. Sinsi yazılım kişisel verileri toplamak için bilgisayarın sabit diskindeki “log” dosyalarını, parola dosyalarını ve popüler hesap paketleriyle uyumlu formattaki dosyaları tarıyor. Ayrıca bu truva atları genellikle parolaları, kredi kartı numaralarını ve diğer hassas bilgileri açık bir şekilde ele veren tuş darbelerinin de takibini yapıyor.

Suçlu bu yolla sadece kişisel bilgilere erişmekle kalmıyor, ayrıca sistemi uzaktan kontrol edebiliyor. Ele geçirilen sistemler, suçluların çıkarları doğrultusunda tüm ileri teknikler kullanılarak müşterek çalıştırılabiliyorlar. Böylece diğer bilgisayarlara veya ağlara karşı saldırılar düzenleyebiliyor ya da dev bir şer ağı haline gelip otomatik bir şekilde servis sağlayıcıların karşı girişimlerinin önüne geçiyorlar. Kötü niyetli web sitelerine dönüşebiliyorlar, spam ve arama motoru hileleriyle linkleri dağıtarak bu sitelere trafik akışı yaratıyorlar ve üstüne online reklam verme sistemlerini dolandırarak gelir üretiyorlar.

Botnet kavram olarak yeni olsa da öz itibarıyla, enfekte olmuş bilgisayar sürüleri ve sonraları “zombi” gibi adlandırmalarla 2000’lerin başından bu yana gerçekliğini koruyor. Başlangıçta genellikle, sürüler halindeki PC’lerin tek bir hedefe veri göndermesi mantığıyla çalışan dağıtık hizmet reddi (DDoS) saldırılarında kullanıldılar. Çoğu internete yavaş bir çevirmeli bağlantıyla bağlı olsa da, tüm bu bilgisayarlar aynı anda yarattıkları kümülatif etki sayesinde hızlı web sitelerini bile nakavt edebiliyorlardı. Raporlara göre DDoS saldırıları daha çok bahis şirketleri başta olmak üzere çeşitli ticari kuruluşlara şantaj yapmak için kullanılıyordu. Örneğin bir suçlu, bir bahis şirketini belli bir miktarda fidye ödememesi durumunda sitesinin en işlek yarış dönemlerinde çalışamaz hâle getirmekle tehdit ediyordu.

Son on yıl içerisinde, başkalarının bilgisayarlarını yasa dışı bir şekilde kontrol altına alan suçlular, ileriye dönük aktiviteler için botnet kullanımının faydalarını keşfetmeye başladılar. Çalıntı bilgi ve bunları ele geçirmeye yarayan araçların ticareti, çevrimiçi bir yeraltı ekonomisi oluşturdu.

En azından standart güvenlik önlemlerini almakta fayda var: Zeus’un da arasında bulunduğu her çeşit kötü niyetli yazılımın bulaşma riskini azaltmak için işletim sisteminizi ve antivirüs yazılımınızı güncel tutun.

Zeus neden bu kadar önemli?

Zeus raporunda her 200 PC’den birine Zeus Trojan’ın bulaştığı belirtiliyor. PrevX CEO’su Mel Morris’e göre hâlâ buz dağının tepesini görüyoruz ve Zeus’un kapsama alanı da sanıldığından daha geniş. PrevX’in verilerine göre 5 binden fazla Zeus sunucusu bulunuyor ve bunların her biri bin ile 100 bin arasında değişen özel olarak ele geçirilmiş PC’leri yönlendiriyor. Bu hesap neredeyse yarım milyar PC’ye denk geliyor ki, bu oran, Gartner analizlerine göre 2010 yılında satılması beklenen toplam PC sayısından daha fazla. En düşük ihtimalle bile, her bir trojan için, her an yönlendirilmeyi bekleyen en azından 5 milyon Windows PC’nin varlığından söz ediliyor. Unutulmaması gereken bir diğer nokta da Zeus’un tek botnet olmadığı. Bu gerçek, dünyadaki enfekte bilgisayarların tahmini sayısını artırmak dışında başka anlama gelmiyor.

Zeus’un yaygınlığının en büyük nedeni, bir botnet oluşturmak için gerekli yazılımın kolay bir şekilde erişilir olması. PrevX ve diğer güvenlik firmaları, bu truva atının değiştirilmiş bir sürümünü satın almanın kolaylığı üzerinde duruyorlar. Bazı suçlular diğerlerine yazılımlarını dağıtmak üzere yardım etmede uzmanlaşırken, bazıları da kendi botnet’lerini zaman aralıklarıyla kiraya veriyorlar. Symantec, Zeus’un saçtığı tehdidin boyutunu, “Zeus: Botların Efendisi” başlığı altındaki özel bir raporda açıklıyor. Raporda, “Bir botnet paketi olan Zeus, 700 dolardan başlayan fiyatıyla satın alınabilirken, ücretsiz bir şekilde de elde edilebiliyor. Botlar dünya çapına yayılıyor ve ele geçirilen korumasız bilgisayarlarda tutarlı bir şekilde varlıklarını koruyorlar.”

Evet, gözden çıkarılacak birkaç yüz dolara herkes çevrimiçi suç dünyasına etkili bir giriş yapabiliyor. Bunu bir teşvik olarak algılamayın; burada edineceğiniz bilgilerin sunulma amacı, daha çok, güvenliğimizi tehdit eden böyle tehlikelere karşı korunmanızda fayda sağlayacak kapsamlı bir izlenim elde etmek. Örneğin, Google’da bir “Zeus user’s guide bot” araması yapın, kötü niyetli yazılım kullanımı hakkında iyi yazılmış pek çok rehber için linklerle karşılaşacaksınız. Fakat bu aramayı yapmadan önce merakınızın pahalıya patlayabileceğini aklınızdan çıkarmayın. Bu tür içeriği sunan sitelerin güvenliğine de kimse garanti veremez.

Zeus kontrol paneli

Peki güncel bir anti virüs yazılımıyla bu tehlikeden ne kadar uzağız? Sıkça söylediğimiz gibi; güvenlik yazılımı, güvenliğe katkı amacını güdüyor, güvenliği garantilemeyi değil. Zeus Trojan’ın sağlayıcıları çabalarının büyük bir kısmını antivirüs yazılımlarından saklanma yollarını araştırarak harcıyorlar. PrevX’in raporuna göre, “Her ne kadar Zeus birtakım gelişkin özelliklere sahip olsa da, bulaşma esnasında anti virüs korumalarını atlatması, başarısı için en önemli aşamayı teşkil ediyor. Bulaşmadan sonra geçen görece uzun bir sürenin ardından (genellikle güvenlik firmaları arasında gerçekleşen numune paylaşımyla) çoğu Zeus truva atı sonunda tespit ediliyor. Zeus’un sistemdeki bu gizli varlığı ve sessiz müdahalesi, aynı zamanda kullanıcının sahte bir güvenlik hissine kapılmasıyla da sonuçlanıyor. Bu his, özellikle de temiz çıkan virüs taramalarıyla güçleniyor. Çoğu vakada Zeus truva atı günlerce, haftalarca, hatta aylarca aktif kalabiliyor.”



McAfee’nin güvenlik stratejisi yönetmeni Greg Day, Zeus’un antivirüs yazılımını aldatmada başarılı olduğunu kabul ediyor: “Teknik anlamda en karmaşık botnet’le karşı karşıya olmasak da, aralarında en üretkeni olduğu kesin. Antivirüsten kaçmada başarılı olmasının nedeni tespit edilecek çok şeyi olmaması. Bu, bir web sitesine yönlendiren basit bir betik… Yazılımı indiren drive-by saldırısı, truva atının arkasındaki farklı işlevsellik parçalarını çekiyor ve uygulamaya sokuyor. Çok ince bir veri tabakası oluşuyor ve kalan parçaları çekmeye devam ediyor. Çok sayıda varyasyon bulunuyor.”

Diğer bir deyişle, bilgisayarınız bulaşıcı bir siteden bir sayfa yüklediğinde, başta çok ufak ve cüzi gözüken bir kod parçasını indiriyor. Bu o kadar ufak boyutta bir veri ki, antivirüs yazılımı zararlı olup olmadığı konusunda karar vermek için delil yetersizliği çekiyor. Kurulduğunda ise, diğer kod parçalarını indirmeye başlıyor ve daha işlevsel bir zararlı yazılım olma doğrultusunda kendini yapılandırıyor.

Durumun ciddiyetini artıran şey, truva atının kurulur kurulmaz bilgi hırsızlığına başlaması. “Buna tüm tarayıcı önbelleği içeriği ve korumalı depolama alanları dâhil bulunuyor. Çoğu durumda Zeus’un zaferini pekiştiren tonlarca kullanıcı adı, parolalar, tarayıcı geçmişi ve kopyalanabilecek kadar kişisel veri bu ilk aşamada elde ediliyor.” Klavye tuşlamalarını ‘dinlemesi’ ve hatta kurban yeni mesajlarını kontrol ettiği sırada ağdan doğruca POP3 e-posta parolalarını elde etmesi, truva atını her an tehlikeli kılan unsurlardan.

PrevX’in botnet baskını

Tek bir Zeus saldırısında çalınan bilgilerin harita üzerinde dağılımı.

PrevX’deki araştırmacılar, Çin’de faaliyet gösteren bir botnet sunucusundan Ocak 2010’da 4 GB boyutunda veri indirdiler. Herhangi bir güvenlik tedbiri alınmadan depolanan bu veri, sitenin adresini bilen herkesin erişimine açık bulunuyordu. PrevX’in dediğine göre “bu veri güçlü bir şekilde şifrelenmemişti ve virüslü bilgisayarların ülke ve isimleriyle şekillendirilmiş bir dizin yapısına sahipti.”

Sıkıştırılmış veri açıldığında 30 GB disk alanı kaplıyordu. Veri dâhilinde 37,385 virüslü bilgisayardan çalınmış kişisel bilgiler bulunuyordu. Bu hırsızlıklar yaklaşık 5 haftalık bir periyot dahilinde gerçekleştirilmiş. PrevX geçmişte daha büyük çalıntı veri önbellekleri ele geçirdiğini de iddia ediyor: “100 binden fazla PC’den toplanan çalıntı verilerden söz ediyoruz.”

Araştırmacıların en çok ilgisini çeken konulardan biri virüslü bilgisayarların bölgesel dağılımları oldu. Veri analiz edildiğinde kurbanların çoğunun Mısır’da yoğunlaştığı anlaşıldı. İkinci sırada yer alan ülke ABD olurken, bunu sırasıyla Meksika, Suudi Arabistan, Türkiye, Pakistan ve Fas takip etti. Aradaki Müslüman ülkelerin çoğunluğu dikkat çekiyor. Acaba bu, İslam ülkelerini hedef alan bir saldırı olabilir mi? ABD ve Meksika’nın listede yer almasının nedeni de bu ülkelerdeki internet kullanıcılarının yoğunluğuyla açıklanabilir mi? Mel Morris’e göre Zeus saldırıları genellikle belirli demografik kesimleri hedef alıyor.

Önbellek içeriği

    • Peki bu truva atı ne tür bilgiler çalıyor? “Her şeyi” demek biraz sıradan kaçabilir ama gene de gerçekten çok uzak olmaz. Gördüklerimiz arasında geniş tarama geçmişleri, çevrimiçi alışveriş ayrıntıları, parolalar, kredi kartı ayrıntıları ve güvenlik sorularının cevapları yer alıyor. Tek bir PC’den toplanan tüm verilerin örnek bir izdüşümünü şöyle:
Suçluların kendi botnet’lerini kurmaları için bilgisayar uzmanı olmaları gerekmiyor. Sıkıştıkları zaman, yardım almak üzere açık bir şekilde yazılmış kılavuza başvurmaları yetiyor.
  • İsim
  • Soyad
  • Ev adresi
  • Ev, iş yeri ve cep telefonu numaraları
  • Doğum tarihi
  • Eş ismi
  • Annenin kızlık soyadı
  • Üç çocuktan ikisinin isimleri
  • İki araba için araç kayıt numaraları
  • İşveren
  • Meslek
  • Güncel adreste oturma süresi
  • Mortgage sahibi
  • Banka ismi
  • Banka kodu
  • Hesap ismi
  • Hesap numarası
  • Müşteri numarası
  • Kredi kartı numarası
  • Kredi kartı kullanıcı adı
  • Üçü parolalı beş e-posta adresi
  • Unutulmuş parola ipucu ve cevabı
  • Sosyal ağ kullanıcı adı ve parolası
  • Hindistan’da tatil rezervasyonu kayıtları
  • Satış pozisyonu için bir iş başvurusu ayrıntıları
  • Yeni araba ve kredi başvurusu için yapılan arama ayrıntıları
  • Anlık mesajlaşma ve web tabanlı e-posta üzerinde yapılan görüşmelerden ve çeşitli verilerden oluşan yaklaşık 400 satır

Bulut bilişim

Bir suçlu sistemlere saldırmaya başladığında, sunucusuna ne kadar sayıda bilgisayarlardan veri gönderileceği üzerinde sınırlı bir denetime sahip oluyor. Bu aşırı bilgi yüklenmesiyle sonuçlanabiliyor ve işleyişi baltalıyor. Böyle bir problem her ne kadar kurbanlar için bir anlamda avantaj sağlayabilse de, olası çözüm girişimlerinin ilgili harcamaları muhtemelen gene suçlulardan ziyade kurbanların cebinden çıkacaktır.

Belki de suçlular veri ayırt etmeyi pek umursamıyorlar. Eğer tek istedikleri kredi kartı ayrıntıları olsaydı bunu filtreleme yardımıyla basit bir şekilde çözebilirlerdi. Peki, neden “tüm” verileri istiyorlar? Eğer veri hırsızlığı bu kadar kolay ve ucuzsa, neden olmasın? Belki uzun vadeli bir yatırım olarak düşündükleri bu ekstra verilerin bir gün birileri tarafından satın alınarak işlenebilir hâle getirileceğini düşünüyorlar. Ya da, belki suçlular fazladan bilgileri işlemenin yolunu zaten bulmuş olabilirler ve uzmanların da bundan haberi olamayabilir.

Suçlular bir veri ayıklama problemiyle karşılaşıyorlar ama bunları ayıklama işini üstlenip forumlarda satışa çıkaranlar da var.

Siber suçlular binlerce, hatta milyonlarca bilgisayarın kontrolünü ele aldıklarında, aslında bir anlamda bir bulut bilişim sistemi oluşturarak Google ve Microsoft gibi ticari devlerle boy ölçüşebilecek duruma gelebiliyorlar. Teoride; parolaları milisaniyelerde kırmak, dağıtık depolama hizmetleri oluşturmak, anonim internet bağlantıları sağlamak, hatta büyük asal sayılar arayan yarışmaların sunduğu para ödüllerini kazanmak gibi güçlere sahip oluyorlar. Ayrıca, çalıntı kişisel veri önbelleklerini dağıtabiliyor ve işleyebiliyorlar.

Botnet’lerin bütünlüğü bozulmadığı sürece tüm bu güçlerden faydalanmak işten bile değil; ama bozuluyorlar. Symantec’in MessageLabs Intelligence baş analisti Paul Wood şöyle diyor: “Durum, var olan birkaç dev botnet’in yarattığı ciddi anlamdaki bir işlem gücünün varlığı şeklinde gözükse de aslında öyle değil. Çok sayıda küçük ölçekte botnet bulunuyor. Çok fazla Zeus botnet’i faaliyet gösteriyor. Bu yüzden teknik olarak, birkaç dağıtık süper bilgisayardan ziyade, fazla miktardaki ufak bulutlardan bahsetmek daha doğru olur.”

Botnet’ler ister küçük ister büyük olsun, şu bir gerçek ki, suçlular kesinlikle veri çalıyor. Delil arayanlar bizzat bu verileri satmak üzere kurulmuş yeraltı web sitelerine ve gene bu verileri elde etme, satma ve işleme gibi konularda destek veren hizmetlere göz atabilirler.

Aşırı veri yüklenmesi

37 bin ile çarpıldığında, toplanan veri miktarı inanılmaz boyutlara ulaşıyor. Bazı uzmanlar bot’lardan gelen verilerin suçluların işleyebileceğinden fazla olduğunu savunuyor. Bazı durumlarda, en azından suçluların da güvenlik güçleri gibi aynı aşırı bilgi yüküne maruz kaldığına inanmak neredeyse rahatlatıcı geliyor.

Zeus tarafından yakalanan bir bankacılık işlemi.

McAfee’den Greg Day’e göre, “Kötü niyetli yazılımlarla elde edilen devasa miktardaki verilerin kullanılmadan önce ayıklanması gerekiyor. Bu da önemli boyutta işlem gücü gerektiriyor”. PrevX bir veritabanı kullanarak bilgileri düzenlemeyi başardı. O zaman neden suçlular da yapamasın? “Önbelleğe gönderilmeden önce bu düzenlemenin istemcide gerçekleştiğini düşünmek gerçekçi geliyor. Eğer dağıtık bir bilgisayar sistemine sahipseniz, bunu o yönde kullanırsınız. Bilgileri önbellek cephesinde düzenlemek büyük oranda kaynak kullanımı gerektirmekte ki bu, sunucu üzerinde fazla dikkat çeker.”

Düzenleme işleminin Q6 botnet’inde söz konusu olmadı görülüyor. Enfekte sistemler, verileri her kurbanın ülke ve makine isimlerine göre organize eden klasörler içinde sıralamak dışında, verilerini sunucuya atma çabasında çok az ortak çaba sarf ettiler. Söz konusu bu veri, tek, büyük bir sıkıştırılmış dosya içinde keşfedilmişti. Acaba bu botnet’in yaratıcısı, alınan gigabaytlarca veriyi kaldıramayacağını sonradan anladığı bir sunucuyla çiğneyebileceğinden daha büyük bir lokma ısırmış olabilir mi? Sunucuda güvenlik önlemi alınmamış olması ve çalınan veri miktarının da verdiği ipucuyla botnet yöneticisinin teknik açıdan yeterli olmadığı sonucuna kolaylıkla varılabilir.

Olası çözümler

Enfekte bilgisayarlardan oluşan büyük ağlar yönetmk ve anlaşıldığı üzere değerli bilgiyi çalmaya yetecek süre boyunca da antivirüs yazılımlarından kaçınma becerileriyle suçlular daha avantajlı gözüküyor. Bu düzeyde bir suç, birkaç kişiden ziyade yasal kuvvetlerin sorumluluğu altına giriyor. Fakat biz buna rağmen kendimizi korumaktan geri kalmamalıyız. Düzenli bir şekilde antivirüs yazılımı kullanmanın, Windows’u güncellemenin ve en önemlisi de internetin tehlikeli sularında gezinmemenin önemi büyük. Ama gene de alışagelmiş nasihatler problem çözmede sadece belli bir yere kadar etkili.

Herkesçe kullanılabilen bilgisayarlara bilgi hırsızı yazılımlar yüklenmiş olabilir; yazdıklarınıza dikkat edin.

Greg Day’e göre önemli bir problem de kullanıcıların misafir olduğu sistemlerden kaynaklanıyor. “İnternet kafeler, umumi bilgisayarlar ve hatta arkadaşınızın evinde kullandığınız PC bile şüpheli konumunda bulunuyor. Verileriniz değerli kişisel eşyalarınız gibidir bu yüzden önceden ele geçmiş olma ihtimali her zaman mevcut bir sisteme ve dolayısıyla da bu ayrıntıları doğrudan botnet ortamına salmak istemezsiniz.”

Bazı durumlarda enfekte sistemler özellikle kötü amaç doğrultusunda hazırlanmış olabiliyorlar. “Mafyanın sırf kişisel bilgi toplamak için tuzak PC’lerle dolu paravan internet kafe zincirleri açtığını duymak çok şaşırtıcı olmazdı doğrusu. Sorun şu; ortamın güvenli olduğunu nasıl kanıtlarız? Oteldeki erişim noktaları ve lobideki internet PC’si gibi bilgisayarların bazen kendisini bile görmediğinizden, verilerinizi yakalayan bir USB belleğin varlığından şüphe etmeyi bırakın, kötü niyetli bir yazılımın verilerinizi bir botnet’e aktarıp aktarmadığından bile emin olamıyorsunuz. Bu yüzden umumi bir sistemi kullanırken anca bir yabancıya verebileceğiniz bilgilerden ötesini girmeyin. SSL ‘asma kilidi’ de bu durumda hiçbir fayda sağlamıyor.”

Zeus botnet’leri hâlâ faaliyette ve yazılımı yaratan kişiler de hâlâ yeni sürümler geliştiriyor. PrevX’in raporunu ilk okuduğumuz tarihten bu yana çoktan yeni bir Zeus sürümü çıktı ve bu sürüm yapılanma kombinasyonlarıyla milyonlarca farklı sürüm olarak yeniden ortaya çıkma potansiyeline sahip. PrevX, Zeus geliştiricilerinin veri sınıflandırma konusuna ağırlık vereceklerini tahmin ederken, Zeus’un sonunda tamamen bulut bilişim modelini benimseyeceğini de öngörüyor.

Maalesef organize bilişim suçlarından korunmak isteyen kullanıcılar için pek kolay çözüm bulunmuyor. Unutulmaması gereken, bu sinsi yazılımların bir şekilde sisteminize sızmak için bir yol bulma gereksinimi duydukları ve sizin bunu zorlaştırmak için harcadığınız çaba oranında güvende kalacağınızdır. Bilinmesi gereken temel şeyler; yabancılar tarafından gönderilen e-postalardaki linklere asla tıklamamak, hatta arkadaşlarınızdan gelen ama aslında onların göndermediğinden şüphelendiğiniz e-postalardakilere de. Antivirüs yazılımınızdan umudu kesmeyin ve Windows güncellemelerini aksatmayın, bunlar sandığınızdan çok çok daha önemli olabilir. Bilgilerinizin bir şekilde çalındığına inanıyorsanız, bilgisayarınızı temizledikten sonra tüm parolalarınızı değiştirmeyi unutmayın.

Kaynak : pcnet






İlginizi Çekebilecek Benzer Konular

3 Yorumlar

  1. canerium@mit.tc Caner Şaşmaz skype adresi xdoomxbotnet
    Dolndırıcıdır itibar etmeyiniz.

  2. SatıLık Botnet 5K BOT 125 TL… 10k BOT 250 TL oLup bikaç saniyede web site kapatma irc server kapatma pvp server kapatma internet bağLantısı kopartma keyLog özeLLiği iLe kurbanLarın kimLe ne konuştuğunu izLeyebiLme rekLam özeLLiği iLe web sitenizi günde binLerce kişiye ziyaret ettirebiLme ve bir çok özeLLik mevcuttur

    İletişim : canerium@mit.tc

  3. satılık botnet, botnet nasıl kurulur

    MSN: virusroot@hotmail.com

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir