07 31 Ocak - 2 Şubat 2007 Kütahya - Akademik Bilişim Konferansları

Bir Worm’un AnatomisiGökhan Akın, Asım GüneşWormlu bilgisayar irc sunucusunda “PRIVMSG#renats :[SCAN]: Random Port Scan started on160.75.x.x:2967 with a delay of 5 seconds for0 minutes using 99 threads.” şeklinde bir mesajyollamış ve daha sonra bağlantıyı erişimisonlandırmıştır. Hemen peşine 160.75.0.0 Bsınıfı İTÜ/NET IP aralığına daki PC’lere raslansalbir şekilde 2967 portlarından SYN atakyapmaya başlamıştır. Buradan da anlaşıldığıüzere üzerinde çalıştığımız worm dışarıdakibir sisteme bilgi sızdırabileceği gibi dışarıdakibir sistemden emir alabilmektedir, yani aynızamanda trojen karakteristiği göstermektedir.6. Worma Karşı ÇözümWorm yazılımlarının kullandığı aynı exploitkullanılarak bazı çözümler üretilebilir.Bunlar güvelik açığına sahip bilgisayarlarınınbelirlenmesi, kullanıcı bilgisayarında bir uyarımesajı çıkartılması ve hatta açık bulunan bilgisayarlarakullanıcının haberi olmadan güvenlikyamasının yapılması olabilir. Bu amaçla İTÜBilgi İşlem Daire Başkanlığı dahilinde Kargaisimli bir yazılım geliştirilmiştir. Programınismi Worm yani Solucan yazılımlara karşı yazılmışbir program olmasından dolayı bu şekildeverilmiştir. Karga V1.0 ile güvenlik açığıbulunan bilgisayara sahipleri uzaktan uyarılabilmekteve açık bulunan bilgisayarlarınlistesi çıkartılabilinmektedir. Şu anda sadecebu makale kapsamında bulunan worm’a karşıyazılmakta olup gelecekte modüler bir yapıyakavuşturulup daha çok güvenlik açığını kapsamasıplanlanmaktadır.7. SonuçWorm yazılımları içerilerinde kendilerini klonlamakamacı temel bir ftp, tftp veya web sunucubarındırmaktadırlar. Ayrıca irc benzeriuzaktaki bir kaynak ile veri haberleşmesi yapabilecekleribir istemci yazılımı da barındırmaktadırlar.Bu sayede kullanıcıdan istenilenher bilgi sızdırılabilinmektedir. Bunun yanısıra uzaktan wormlu bilgisayara istenilen hertürlü emirde verilebilir hale gelmiştir. Bu sayesindeyüzlerce pcden oluşan bir DoS atakordusu oluşturulabilir.692En kötüsü bir kere programlanmış bir wormdaha sonra kodunda yapılacak çok küçük birmüdahale ile yeni exploitler için revize ediliptekrar tehdidini sürdürmeye devam etmektedir.Wormlar ile sebep olunan durumda ciddi birulusal güvenlik sorunu oluşturmaktadır. Wormluveya güvenlik açığı bulunan bilgisayarlarıntek tek tespiti yerine aynı exploitin kullanıcınınuyarılması için kullanılması durumunda wormunağdan temizlenme süresini çok kısaltmaktadır.Ancak bunun için sürekli yeni çıkan güvenlikaçıkları takip edilmeli ve bir kütüphaneoluşturulmalıdır. Bu amaç A.B.D.’de UlusalCERT kurumlarının sponsorluğu ile UlusalGüvenlik Açıkları Veritabanı oluşturulmuştur.[3] (National Vulnerability Database) Yenigüvenlik açıklarının ortaya çıkması ile yeniwormların çıkması sürekli devam edeceğindenkullanıcıları bu türden ulusal bir veritabanıoluşturacak bir birim oluşturulması ve kullanıcılarıuyaracak bu türden yazılımlarda paralelindegeliştirilmesi çok faydalı olacaktır.