30-04-2009, 20:02
USB Diskler ve Güvenlik Problemleri
S.A.
Son zamanlarda USB Disklerin fiyatlarının iyice ucuzlaması ve pratik kullanımları sebebiyle kullanım oranları çok fazla arttı. Bilgisayardan bilgisayara dolaşan USB diskler virüsleri de beraberlerinde bilgisayardan bilgisayara taşıdılar. Yani virüsler için yeni bir hızlı ve pratik yayılma metodu oluştu.
Peki Nasıl Bulaşıyor?
Bilgisayarınıza USB Bellek taktıktan sonra, "Bilgisayarım" menüsünden USB Bellek ikonuna çift tıkladığınızda, ya da sağ tıklayıp "Otomatik Kullan" yaptığınızda autorun özelliği gereği belleğin root dizinindeki çalıştırılabilir dosya çalışır. Bu çalıştırabilir dosya zararlı bir dosya ise, enfekte olabilirsiniz.
AutoRun & Auto-Play Ne Ola ki?
Auto-Run dediğimiz hadise, bir CD/DVD/USB Bellek taktığınızda onunla beraber bir yardımcı yazılım ( örneğin kurulum programı) başlaması olayıdır. Auto-Play ise Auto-Run aktif olduğu zaman çalışan yazılımdır.
Bu noktada kavram kargaşası yaratmak istemiyorum; o açıdan örneklerle açıklamak gerekirse sağ tarafta gördüğünüz ekran klasik Auto-Play menüsüdür.Aygıtınızın Auto-Run özelliği kapalıysa, bu ekranı görmesiniz.
Windows XP ile beraber USB Disklerden Auto-Run özelliğinin otomatik başlaması olayı kaldırılmıştır, ancak sizin elle "Otomatik Kullan" seçeneğini seçmeniz ya da , "Bilgisayarım" menüsünden USB Bellek ikonuna çift tıklamanız durumunda çalışır.
Temel olarak ilgili aletinin (CD/DVD/USB Bellek) kök dizinindeki autorun.inf dosyasında çalıştırılacak dosyanın yolu, gösterilecek ikon gibi bilgiler bulunur. Bu bilgiler ışığında yukarıda anlattığım "Otomatik Kullan" olayı gerçekleşir.
Farkındalık
İşin ilginç tarafı, son kullanıcılar USB Bellekleriyle birlikte virüs taşıdıklarının genel olarak farkında değiller ve anti-virüs yüklü bir bilgisayara enfekte olmuş bir alet takıldığında anti-virüsün uyarı vermesi sonucu insanlar arasında "Benim bilgisayarıma virüs bulaştırmak istiyorsun" şeklinde başlayan ufak çaplı tartışmalar yaşanabiliyor. Haricinde yine aynı durumda USB Bellek sahibi "Bilgisayarından virüs bulaştı" şeklinde sizi suçlayabilir.
Nasıl Korunacağız?
Açıkçası öyle ahım, şahım extra güvenlik aksiyonlarına girmenize gerek yok. Hiçbir aygıtın Auto-Run özelliğini kullanmayın. Sadece kullanacağınız USB Belleğin ilgili harddisk bölümüne sağ tıklayıp "Araştır / Explore" seçeneği ile açarsanız, bu tip zararlılardan korunmuş olursunuz.
Nasıl Temizleyeceğiz?
Korunma kısmı gayet basit, ama yanlışlıkla da olsa , reflekslerimiz saolsun, gidip o ikonun üzerine çift tıklayabiliyoruz. Temizlemek için öncelikli olarak yapılması gereken kendi enfekte olmuş bilgisayarımızı temizlemektir.Bu noktada anti-virüs programınızın etkisiz kalması durumunda yapılacak şey; her virüse özel olarak farklı gerçekleştirilmesi gereken bir yöntem gerektirir. Bu konudaki benim genel metodolojim şu şekilde (ezberden yazıyorum):
1. Aktif durumdaki güvenlik yazılımı inaktif hale getirilir.
2.
O anki çalışan process’ler kontrol edilir, garip bir şey bulunursa :
1. Çalışan dosyanın yolu bir kenara not edilir
2. Kullandığı TCP/IP bağlantıları,vs incelenir.
3. Process kapatılmaya çalışılır, davranışları incelenir (kapanıyor mu,tekrar açılıyor mu)
4. Semptomları tespit edilmeye çalışılır (örneğin geçen gün bilgisayarıma bulaşan virüs gizli dosyaları gösterme seçeneğini hep aktif halde tutuyordu)
3. İşletim sisteminin ilk başladığında çalışan uygulamalar kontrol edilir. (msconfig,startup,vs)
4. Kıllanılan processler bir klasorde toplanır ve online virüs tarama servislerinden kontrol edilir. Emin olun virüsün ilk bulaştığı makine sizinki değil.
5. Online tarama servislerinden sağlanılan bilgiler vasıtasıyla ilgili fix internetten aranır, bulunur ve uygulanır.
6. 2.Maddenin d şıkkında elde edilen etkilerin hala varolup olmadığı kontrol edilir.
Tüm bunlara şunu eklemek gerekir ki; bir kere enfekte olmuş bir makineyi temizlemeye çalışmak çok da akıl karı bir yol değildir. Nitekim bilgisayarınızın %100 temizlendiğine hiçbir zaman emin olamazsınız.
Daha Özel Bir Durum Üzerine
USB Disklere dönelim. USB Diskler sayesinde yayılan virüslerin genel özellikleri:
* Genellikle gizli ve sistem dosyalarıdır; explorer ile açtığınızda göremezsiniz.
* Autorun.inf içindeki bilgiler vasıtasıyla bulaşırlar.
Elinizde temiz bir sistem var, ve enfekte olmuş bir USB Diski bilgisayarınıza taktığınızı düşünelim. Bu durumda yapacağımız şey belli, Autorun.inf’yi ve ilgili executable dosyayı silmek olacak. Adım adım incelemek gerekirse :
1. USB Belleği takın
2. Hiçbir otomatik başlat aksiyonuna girmeyin.
3. Command Prompt’u açın (Başlat> Çalıştır > "cmd" ve enter)
4. USB Bellek için ayrılan partitiona girin ( Benim örneğimde I: )
5.
Attrib uygulaması vasıtasıyla, USB belleğinizin kök dizinindeki dosyaların özelliklerini inceleyin. Varsayımımızda dikkat ettiyseniz, virüslerin genellikle sistem ve gizli dosya olarak kendilerini niteleyeceklerini ve autorun.inf sayesinde bulaşacaklarını söylemiştik. Burada da hem bu özellikler, hem de isim itibariyle, virüslü dosyalar çok net şekilde belli olmaktadır. (SHR, Sırasıyla; System, Hidden,Read-Only özelliklerini simgelemekte)
6. 1. attrib –s –h –r m.exe
1. attrib –s –h –r autorun.inf
1. attrib –s –h –r gjatw9aj.exe
7.Bu komutları çalıştırdıktan sonra, bu şüpheli dosyaların sistem dosyası olma, gizli dosya olma ve read-only dosya olma özelliklerini ellerinizden aldığımız için artık Explorer ile görünebilir ve silinebilir hale gelecektir.
8. Şüpheli dosyalardan kesin olarak emin olmak için, online zararlı program tarama servislerinden faydalanabiliriz. (Bu tarama servislerinin bulunduğu listeyi yazının sonunda bulabilirsiniz.) Örneğin ben m.exe’yi http://virusscan.jotti.org/ adresinden tarattım. Oradaki rapora göre anti-virüslerin büyük çoğunluğuna göre INFECTED/MALWARE statüsünde.
9. İlgili dosyalar silinir, bu işlem Explorer penceresinden, ya da Command Prompt’tan :
1. del m.exe
1. del autorun.inf
1. del gjatw9aj.exe
Komutlarıyla silinebilir.
Auto-Run Saldırıları ve Enteresan Bir Virüsün Anatomisi
Dediğimiz gibi, Auto-Run saldırılarının asıl etkili olduğu yer şu an itibariyle CD-ROM’lar. Çünkü Windows sistemlerde şu an itibariyle default ayar, takılan CD-ROM’daki kurulum programının otomatik olarak çalışması. Yani o program yerine CD-ROM’a yazılan bir virüs, hiçbir kullanıcı etkileşimi gerekmeksizin bilgisayarınıza bulaşabilir.
Bu fikri temel alan bir gelişmiş virüsler de mevcut. Fikre göre, bilgisayarına bulaşan virüs, bilgisayarınızdaki tüm CD imajlarına ( ISO imajları, ISO9660 formatı) bulaşarak kendisini her CD yazılma işlemi sonucu başka bir bilgisayara taşıyor. Bir bakıma bilmeden suça ortak ediyor sizi[1]
U3 Teknolojisi ve Güvenlik Riskleri
U3 Teknolojisinden genel itibariyle bahsetmek isterse; USB işletim sistemlerine benzer bir fikirle, kısaca yanında taşımak istediğiniz yazılımlarınızı teknolojinin desteklediği tüm işletim sistemlerinde çalıştırabilmenizi sağlar. Yani atıyorum okulunuzdaki bilgisayarınızda mp3 dinlemek istiyorsunuz ve bir mp3 player bile yüklememişler. Yönetimsel kısıtlamalar gereği makinede admin olarak çalışmıyorsanız, böyle bir yazılım yükleme imkanınız da yok. Bu durumda yanınızda taşıdığınız U3 destekli USB bellek sayesinde istediğiniz(daha önceden bellek üzere kurduğunuz) programları USB belleğiniz üzerinden çalıştırabilirsiniz. Belleğinizi bilgisayardan çektikten sonra host makinede hiçbir iziniz kalmıyor. [2]
U3 Teknolojisi Windows XP ve sonraki sistemlerde varolan USB Bellek’lerin autorun özelliklerinin devre dışı bırakılması durumunu by-pass etmiş. USB Bellek takıldığı anda sisteme 2 adet aygıt ekleniyor, bir tane read-only sanal bir CD sürücü ve FAT dosya sistemine sahip bir standart flash disk. Tahmin ettiğiniz üzere autorun özelliğinin devre dışı kaldığı yer flash disk tarafı, ve sanal CD-ROM tarafında böyle bir kısıtlama söz konusu değil. Yani CD-ROM’a bir virüs yazabilirseniz, her autorun özelliği kapatılmamış bilgisayara takıldığında, o bilgisayarı enfekte edebileceğiniz anlamına geliyor.
İşte zurnanın tam olarak zırt dediği yer burası, zira ilk bakışta sanal Read-Only CD-ROM’a bir şey yazmak imkansız gibi dursa da, bu dediğimiz kadar imkansız değil ve firmware’in update utility’si, Read-Only CD-ROM’daki programı update ediyor. Yani bu noktada bir tasarım problemi var ve update programı oradaki autorun programını değiştirebiliyorsa, herhangi bir virüs ya da kod da yapabilir demektir.[3] Uzun lafın kısası, kendini autorun programı yerine koyabilen bir virüs çok daha hızlı şekilde yayılabilir ve bunu yapmak, referanslardan ilgili adresleri okursanız göreceksiniz gayet kolay (ekleyeyim, kendim denemedim). [4]
İleri Seviye Tehditler
USB Dumping
Bu teknik genel olarak, USB Belleği bir bilgisayara taktığınızda, o bellekteki bilgilerin sessiz sedasız takılan bilgisayara aktarılmasıdır. USB 2.0 standartının sağladığı veri transfer hızı da fena değilken, "sunum alayım diyerek, tüm verileri çalmak" zevkli bir aktivite olsa gerek. Aslında bu atağın en önemli yönü, kolay şekilde gerçekleşmesi. Arka planda çalıştığını bile fark etmediğiniz bir process resmen saman altından su yürütüyor!
Haricinde, fikir biraz daha geliştirilerek dosyaların e-maillenmesi, ya da belli bir ftp hesabına yüklenmesi gibi şeyler de yapılmış. Tüm verinin başka bir kanal aracılığıyla aktarılması çok da etkili görünmese de, public bir bilgisayarda çalışan yazılım kopyaladığı tüm dosyaların elinize geçmesi fikri çok etkileyici duruyor.[5]
Bu tekniğin implemente edildiği "USBDumper" isimli yazılımın demonstre edildiği videoya şu adresten ulaşılabilir.
PodSlurping Saldırıları
Buradaki olay USB Dumping olayının tersidir. Yani bilgisayara taktılan USB bellekteki kötü niyetli yazılım, bilgisayarın bilgilerini USB belleğe kopyalar. Ama bu atak tipi ilki kadar kolay değildir, zira gerçekleşmesi için kötü niyetli yazılımın bilgisayarınızda çalışması gerekir ve bu da daha çok autorun özelliği ve biraz da sosyal mühendislik yapılarak başarılmaya çalışılır.[6]
Haricinde sadece USB bellekten değil de, ağ üzerinden de bağlanıp aynı işi yapmak da bu terim çerçevesinde ele alınır.
Güvenlik Önerileri
* Tekrarlıyorum, anti-virüs kullanın. Gelecek saldırıların en az %50 sinden korunuyor olacaksınız.
* Tüm aletlerin(CD-ROM, Flash Bellek) auto-run özelliklerini devre dışı hale getirin.
* Hiçbir aletin auto-play özelliğini kullanmayın.
* USB Şifreleme çözümleri kullanılabilir.
*
USB Portlarını engellemek çok mantıklı bir güvenlik politikası değil , fakat sınırlama getirilebilir. Kullanıcı bazlı olarak hangi tip aletlerin , hangi bilgisayarlara takılabileceği gibi kısıtlamalar etkili olabilir. İmplementasyon detayları ile ilgili çok fazla fikrim yok fakat referanslar bölümünde ilgili ürünler hakkında bilgi bulunabilecek kaynakları ve makaleleri gösterdim.[7]
Referanslar
* [1] Infecting ISO CD Images , Z0MBiE,29A Vol 6
* [2] U3 - Wikipedia
* [3] U3 Teknolojisi Kullanan USB Belleklerdeki Tehlike , Zemana Blog
* [4] Hacking U3 USB drives , McGrew Security
* [5] USB Hacksaw , USB Hacks
* [6] How to: Simple "Podslurping" Example With a USB Flash Drive , USB Hacks
* [7]
o The Infectious Allure of Vendor Swag, Technet 2008 January
o http://www.devicelock.com/dl/
o http://www.devicewall.com/
(alıntıdır)
yazan:Mesut Timur
tarih:Mayıs 2008
S.A.
Son zamanlarda USB Disklerin fiyatlarının iyice ucuzlaması ve pratik kullanımları sebebiyle kullanım oranları çok fazla arttı. Bilgisayardan bilgisayara dolaşan USB diskler virüsleri de beraberlerinde bilgisayardan bilgisayara taşıdılar. Yani virüsler için yeni bir hızlı ve pratik yayılma metodu oluştu.
Peki Nasıl Bulaşıyor?
Bilgisayarınıza USB Bellek taktıktan sonra, "Bilgisayarım" menüsünden USB Bellek ikonuna çift tıkladığınızda, ya da sağ tıklayıp "Otomatik Kullan" yaptığınızda autorun özelliği gereği belleğin root dizinindeki çalıştırılabilir dosya çalışır. Bu çalıştırabilir dosya zararlı bir dosya ise, enfekte olabilirsiniz.
AutoRun & Auto-Play Ne Ola ki?
Auto-Run dediğimiz hadise, bir CD/DVD/USB Bellek taktığınızda onunla beraber bir yardımcı yazılım ( örneğin kurulum programı) başlaması olayıdır. Auto-Play ise Auto-Run aktif olduğu zaman çalışan yazılımdır.
Bu noktada kavram kargaşası yaratmak istemiyorum; o açıdan örneklerle açıklamak gerekirse sağ tarafta gördüğünüz ekran klasik Auto-Play menüsüdür.Aygıtınızın Auto-Run özelliği kapalıysa, bu ekranı görmesiniz.
Windows XP ile beraber USB Disklerden Auto-Run özelliğinin otomatik başlaması olayı kaldırılmıştır, ancak sizin elle "Otomatik Kullan" seçeneğini seçmeniz ya da , "Bilgisayarım" menüsünden USB Bellek ikonuna çift tıklamanız durumunda çalışır.
Temel olarak ilgili aletinin (CD/DVD/USB Bellek) kök dizinindeki autorun.inf dosyasında çalıştırılacak dosyanın yolu, gösterilecek ikon gibi bilgiler bulunur. Bu bilgiler ışığında yukarıda anlattığım "Otomatik Kullan" olayı gerçekleşir.
Farkındalık
İşin ilginç tarafı, son kullanıcılar USB Bellekleriyle birlikte virüs taşıdıklarının genel olarak farkında değiller ve anti-virüs yüklü bir bilgisayara enfekte olmuş bir alet takıldığında anti-virüsün uyarı vermesi sonucu insanlar arasında "Benim bilgisayarıma virüs bulaştırmak istiyorsun" şeklinde başlayan ufak çaplı tartışmalar yaşanabiliyor. Haricinde yine aynı durumda USB Bellek sahibi "Bilgisayarından virüs bulaştı" şeklinde sizi suçlayabilir.
Nasıl Korunacağız?
Açıkçası öyle ahım, şahım extra güvenlik aksiyonlarına girmenize gerek yok. Hiçbir aygıtın Auto-Run özelliğini kullanmayın. Sadece kullanacağınız USB Belleğin ilgili harddisk bölümüne sağ tıklayıp "Araştır / Explore" seçeneği ile açarsanız, bu tip zararlılardan korunmuş olursunuz.
Nasıl Temizleyeceğiz?
Korunma kısmı gayet basit, ama yanlışlıkla da olsa , reflekslerimiz saolsun, gidip o ikonun üzerine çift tıklayabiliyoruz. Temizlemek için öncelikli olarak yapılması gereken kendi enfekte olmuş bilgisayarımızı temizlemektir.Bu noktada anti-virüs programınızın etkisiz kalması durumunda yapılacak şey; her virüse özel olarak farklı gerçekleştirilmesi gereken bir yöntem gerektirir. Bu konudaki benim genel metodolojim şu şekilde (ezberden yazıyorum):
1. Aktif durumdaki güvenlik yazılımı inaktif hale getirilir.
2.
O anki çalışan process’ler kontrol edilir, garip bir şey bulunursa :
1. Çalışan dosyanın yolu bir kenara not edilir
2. Kullandığı TCP/IP bağlantıları,vs incelenir.
3. Process kapatılmaya çalışılır, davranışları incelenir (kapanıyor mu,tekrar açılıyor mu)
4. Semptomları tespit edilmeye çalışılır (örneğin geçen gün bilgisayarıma bulaşan virüs gizli dosyaları gösterme seçeneğini hep aktif halde tutuyordu)
3. İşletim sisteminin ilk başladığında çalışan uygulamalar kontrol edilir. (msconfig,startup,vs)
4. Kıllanılan processler bir klasorde toplanır ve online virüs tarama servislerinden kontrol edilir. Emin olun virüsün ilk bulaştığı makine sizinki değil.
5. Online tarama servislerinden sağlanılan bilgiler vasıtasıyla ilgili fix internetten aranır, bulunur ve uygulanır.
6. 2.Maddenin d şıkkında elde edilen etkilerin hala varolup olmadığı kontrol edilir.
Tüm bunlara şunu eklemek gerekir ki; bir kere enfekte olmuş bir makineyi temizlemeye çalışmak çok da akıl karı bir yol değildir. Nitekim bilgisayarınızın %100 temizlendiğine hiçbir zaman emin olamazsınız.
Daha Özel Bir Durum Üzerine
USB Disklere dönelim. USB Diskler sayesinde yayılan virüslerin genel özellikleri:
* Genellikle gizli ve sistem dosyalarıdır; explorer ile açtığınızda göremezsiniz.
* Autorun.inf içindeki bilgiler vasıtasıyla bulaşırlar.
Elinizde temiz bir sistem var, ve enfekte olmuş bir USB Diski bilgisayarınıza taktığınızı düşünelim. Bu durumda yapacağımız şey belli, Autorun.inf’yi ve ilgili executable dosyayı silmek olacak. Adım adım incelemek gerekirse :
1. USB Belleği takın
2. Hiçbir otomatik başlat aksiyonuna girmeyin.
3. Command Prompt’u açın (Başlat> Çalıştır > "cmd" ve enter)
4. USB Bellek için ayrılan partitiona girin ( Benim örneğimde I: )
5.
Attrib uygulaması vasıtasıyla, USB belleğinizin kök dizinindeki dosyaların özelliklerini inceleyin. Varsayımımızda dikkat ettiyseniz, virüslerin genellikle sistem ve gizli dosya olarak kendilerini niteleyeceklerini ve autorun.inf sayesinde bulaşacaklarını söylemiştik. Burada da hem bu özellikler, hem de isim itibariyle, virüslü dosyalar çok net şekilde belli olmaktadır. (SHR, Sırasıyla; System, Hidden,Read-Only özelliklerini simgelemekte)
6. 1. attrib –s –h –r m.exe
1. attrib –s –h –r autorun.inf
1. attrib –s –h –r gjatw9aj.exe
7.Bu komutları çalıştırdıktan sonra, bu şüpheli dosyaların sistem dosyası olma, gizli dosya olma ve read-only dosya olma özelliklerini ellerinizden aldığımız için artık Explorer ile görünebilir ve silinebilir hale gelecektir.
8. Şüpheli dosyalardan kesin olarak emin olmak için, online zararlı program tarama servislerinden faydalanabiliriz. (Bu tarama servislerinin bulunduğu listeyi yazının sonunda bulabilirsiniz.) Örneğin ben m.exe’yi http://virusscan.jotti.org/ adresinden tarattım. Oradaki rapora göre anti-virüslerin büyük çoğunluğuna göre INFECTED/MALWARE statüsünde.
9. İlgili dosyalar silinir, bu işlem Explorer penceresinden, ya da Command Prompt’tan :
1. del m.exe
1. del autorun.inf
1. del gjatw9aj.exe
Komutlarıyla silinebilir.
Auto-Run Saldırıları ve Enteresan Bir Virüsün Anatomisi
Dediğimiz gibi, Auto-Run saldırılarının asıl etkili olduğu yer şu an itibariyle CD-ROM’lar. Çünkü Windows sistemlerde şu an itibariyle default ayar, takılan CD-ROM’daki kurulum programının otomatik olarak çalışması. Yani o program yerine CD-ROM’a yazılan bir virüs, hiçbir kullanıcı etkileşimi gerekmeksizin bilgisayarınıza bulaşabilir.
Bu fikri temel alan bir gelişmiş virüsler de mevcut. Fikre göre, bilgisayarına bulaşan virüs, bilgisayarınızdaki tüm CD imajlarına ( ISO imajları, ISO9660 formatı) bulaşarak kendisini her CD yazılma işlemi sonucu başka bir bilgisayara taşıyor. Bir bakıma bilmeden suça ortak ediyor sizi[1]
U3 Teknolojisi ve Güvenlik Riskleri
U3 Teknolojisinden genel itibariyle bahsetmek isterse; USB işletim sistemlerine benzer bir fikirle, kısaca yanında taşımak istediğiniz yazılımlarınızı teknolojinin desteklediği tüm işletim sistemlerinde çalıştırabilmenizi sağlar. Yani atıyorum okulunuzdaki bilgisayarınızda mp3 dinlemek istiyorsunuz ve bir mp3 player bile yüklememişler. Yönetimsel kısıtlamalar gereği makinede admin olarak çalışmıyorsanız, böyle bir yazılım yükleme imkanınız da yok. Bu durumda yanınızda taşıdığınız U3 destekli USB bellek sayesinde istediğiniz(daha önceden bellek üzere kurduğunuz) programları USB belleğiniz üzerinden çalıştırabilirsiniz. Belleğinizi bilgisayardan çektikten sonra host makinede hiçbir iziniz kalmıyor. [2]
U3 Teknolojisi Windows XP ve sonraki sistemlerde varolan USB Bellek’lerin autorun özelliklerinin devre dışı bırakılması durumunu by-pass etmiş. USB Bellek takıldığı anda sisteme 2 adet aygıt ekleniyor, bir tane read-only sanal bir CD sürücü ve FAT dosya sistemine sahip bir standart flash disk. Tahmin ettiğiniz üzere autorun özelliğinin devre dışı kaldığı yer flash disk tarafı, ve sanal CD-ROM tarafında böyle bir kısıtlama söz konusu değil. Yani CD-ROM’a bir virüs yazabilirseniz, her autorun özelliği kapatılmamış bilgisayara takıldığında, o bilgisayarı enfekte edebileceğiniz anlamına geliyor.
İşte zurnanın tam olarak zırt dediği yer burası, zira ilk bakışta sanal Read-Only CD-ROM’a bir şey yazmak imkansız gibi dursa da, bu dediğimiz kadar imkansız değil ve firmware’in update utility’si, Read-Only CD-ROM’daki programı update ediyor. Yani bu noktada bir tasarım problemi var ve update programı oradaki autorun programını değiştirebiliyorsa, herhangi bir virüs ya da kod da yapabilir demektir.[3] Uzun lafın kısası, kendini autorun programı yerine koyabilen bir virüs çok daha hızlı şekilde yayılabilir ve bunu yapmak, referanslardan ilgili adresleri okursanız göreceksiniz gayet kolay (ekleyeyim, kendim denemedim). [4]
İleri Seviye Tehditler
USB Dumping
Bu teknik genel olarak, USB Belleği bir bilgisayara taktığınızda, o bellekteki bilgilerin sessiz sedasız takılan bilgisayara aktarılmasıdır. USB 2.0 standartının sağladığı veri transfer hızı da fena değilken, "sunum alayım diyerek, tüm verileri çalmak" zevkli bir aktivite olsa gerek. Aslında bu atağın en önemli yönü, kolay şekilde gerçekleşmesi. Arka planda çalıştığını bile fark etmediğiniz bir process resmen saman altından su yürütüyor!
Haricinde, fikir biraz daha geliştirilerek dosyaların e-maillenmesi, ya da belli bir ftp hesabına yüklenmesi gibi şeyler de yapılmış. Tüm verinin başka bir kanal aracılığıyla aktarılması çok da etkili görünmese de, public bir bilgisayarda çalışan yazılım kopyaladığı tüm dosyaların elinize geçmesi fikri çok etkileyici duruyor.[5]
Bu tekniğin implemente edildiği "USBDumper" isimli yazılımın demonstre edildiği videoya şu adresten ulaşılabilir.
PodSlurping Saldırıları
Buradaki olay USB Dumping olayının tersidir. Yani bilgisayara taktılan USB bellekteki kötü niyetli yazılım, bilgisayarın bilgilerini USB belleğe kopyalar. Ama bu atak tipi ilki kadar kolay değildir, zira gerçekleşmesi için kötü niyetli yazılımın bilgisayarınızda çalışması gerekir ve bu da daha çok autorun özelliği ve biraz da sosyal mühendislik yapılarak başarılmaya çalışılır.[6]
Haricinde sadece USB bellekten değil de, ağ üzerinden de bağlanıp aynı işi yapmak da bu terim çerçevesinde ele alınır.
Güvenlik Önerileri
* Tekrarlıyorum, anti-virüs kullanın. Gelecek saldırıların en az %50 sinden korunuyor olacaksınız.
* Tüm aletlerin(CD-ROM, Flash Bellek) auto-run özelliklerini devre dışı hale getirin.
* Hiçbir aletin auto-play özelliğini kullanmayın.
* USB Şifreleme çözümleri kullanılabilir.
*
USB Portlarını engellemek çok mantıklı bir güvenlik politikası değil , fakat sınırlama getirilebilir. Kullanıcı bazlı olarak hangi tip aletlerin , hangi bilgisayarlara takılabileceği gibi kısıtlamalar etkili olabilir. İmplementasyon detayları ile ilgili çok fazla fikrim yok fakat referanslar bölümünde ilgili ürünler hakkında bilgi bulunabilecek kaynakları ve makaleleri gösterdim.[7]
Referanslar
* [1] Infecting ISO CD Images , Z0MBiE,29A Vol 6
* [2] U3 - Wikipedia
* [3] U3 Teknolojisi Kullanan USB Belleklerdeki Tehlike , Zemana Blog
* [4] Hacking U3 USB drives , McGrew Security
* [5] USB Hacksaw , USB Hacks
* [6] How to: Simple "Podslurping" Example With a USB Flash Drive , USB Hacks
* [7]
o The Infectious Allure of Vendor Swag, Technet 2008 January
o http://www.devicelock.com/dl/
o http://www.devicewall.com/
(alıntıdır)
yazan:Mesut Timur
tarih:Mayıs 2008