07 31 Ocak - 2 Şubat 2007 Kütahya - Akademik Bilişim Konferansları

Akademik Bilişim’07 - IX. Akademik Bilişim Konferansı Bildirileri31 Ocak - 2 Şubat 2007 Dumlupınar Üniversitesi, KütahyaSolucanlarla SavaşSolucan adı verilen yazılımların neredeyse tamamıMicro soft işletim sistemleri altında sunulanservislerin zayıflık larından yararlanarakyayılmaktadır. Bu servislerin kul landığı iletişimkapılarına (port) yönelik trafiği iptables iledenetim altına alarak solucan yayılımını önlemekçok ko laydır. İyi bir güvenlik duvarı kurulumundabilinen port adresleri dışında trafiğeizin verilmez. Örneğin 135-139 ve 445 numaralıportlar üzerindeki trafiğe denetimsiz ola rakizin vermek kelimenin tek anlamıyla intihardır.Gü venlik duvarlarının politikası “herşey kapalı,gerekli olan lar açık” olmalıdır. iptables ile butür politikaları uygula mak son derece kolaydır.SPAM ile Savaşdalgaya göre düzenlenmeden olabildiğince çokmesaj göndermektir. Bu nedenle, gönderemediklerimesajları bir süre sonra tekrar göndermeyidenemezler. SQLgrey yazılımı, herhangibir IP adresinden herhangi bir kullanıcımıza ilkkez gelen e-posta mesajına ilişkin SMTP bağlantısınıbeş dakikalığına reddetmemizi sağlamaktadır.Eğer gönderici SMTP protokolunukurallarına göre oyna yan bir bilgisayarsa, kısabir süre sonra tekrar deneyecek tir. Greylistingsayesinde üniversitemize gelen SPAM mesajlarınsayısında yüzde doksan oranında azalmasağ lanmıştır. Bu çözümün geçici olduğunu,greylisting uygu lamasının yaygınlaşmasıylaSPAM yazılımlarının da gön-deremediklerimesajlar için yeniden deneme yapmaya başlayacaklarınıbiliyoruz; ancak şimdilik greylistingişe yaramaktadır.2006 yılının sonlarına doğru artık dayanılmazboyutlara varan istenmeyen e-posta trafiğiile savaşta en önemli ve etkin silahlarımızgene açık kaynak kodlu yazılımlardır. BilkentÜniversitesi’nde bu amaçla spamassassin [11]açık kaynak kodlu yazılımı yanısıra kara listeservislerinden de yararlanılmaktadır. spamassassin,gelen e-posta mesajla rının içerdiklerianahtar sözcükler yanısıra mesajın görsel düzenlenmekarakteristiklerini (çok renkli yazıtipleri kul-kanılmış olması, “listeden çıkmakiçin şunu yapın” benzeri ifadeler içermesi gibi)değerlendirerek puanlama yapmak ta; belirli birpuanı geçen mesajların SPAM olarak işaretlenmesinisağlamaktadır. DNSBL (DNS karaliste) [12] servislerinden yararlanarak da, mesajıgönderen SMTP sunucunun şöhreti kontroledilebilmektedir. postfix, qmail, sendmail gibiyaygın olarak kullanılan Linux e-posta su nucuyazılımlarına kolaylıkla entegre edilebilenspamas-sassin, yüzde yüz olmasa da, SPAMmesajların yakalan masında çok başarılıdır.SPAM savaşındaki bir diğer önemli silahımızda SQLgrey [13] isimli grey listing yazılımıdır.SPAM gönderen yazı lımlar mesajları mümkünolduğunca hızlı göndermeye çalışırlar. Bununbelki de en önemli nedeni, SPAM filt releri yeni259SPAM ile savaş tek yönlü değildir. GelenSPAM’i önle menin yanısıra, giden SPAM’inönlenmesi de kurumların kara listelere alınmamasıaçısından çok önemlidir. Ne yazık ki,çok çeşitli yöntemlerle kullanıcı bilgisayarlarıele geçirilmekte ve uzaktan yönetilerek SPAMgöndermek amacıyla kullanılabilmektedir. Herne kadar kuşkuyla kar şılanan bir oran olsa da,dünyada Windows işletim sistemi ile çalışan evbilgisayarlarının yüzde 70’inin ele geçirilmişolduğu tahmin edilmektedir. Oran ne olursaolsun, ele geçirilmiş bilgisayar sayısı hepimizirahatsız etmeye yetecek kadar çoktur ve ne yazıkki artış eğilimindedir.Alınan tüm önlemlere rağmen, 29 Ekim - 6Kasım 2006 tarihleri arasındaki bir haftalıkdönemde, Bilkent Üniver-sitesi’ndeki ele geçirilmişbilgisayarlardan 1.300.000 den fazlae-posta gönderme girişimi iptables filtrelerinetakıl dı. Bu elektronik postaları, gene netfilter/iptables ile sahte bir SMTP sunucusuna yönlendiriptopladık. Ortaya çıkan manzarada ikitip ele geçirilmiş bilgisayar profili gördük:1.SPAM göndermek için uzaktan yönetilen,zombie’ye dönüşmüş, yani ele geçirilmişbilgisayarlar ve