Bilgisayarlarınızı kontrol edin

Uzun bir süredir kullanıcı parolarını ele geçirip sistemden sisteme SSH ile atlayan bir takım art niyetli ve/veya meraklı kişiyi takip ediyorduk. Onlar parola ele geçirdikçe ilgili kullanıcıların hesaplarını kilitleyi parolarını değiştirmelerini sağlıyorduk. Ara sıra oynadığımız bu köşe kapmaca fazla sık olmadığı için elle tutulur çok fazla önlem almamıştık.

Bu son bir haftalık bir süre içinde, ele geçirilen kullanıcı hesaplarından girilip, yerel açıklardan faydalanarak pek çok makinada root olunduğunu fark ettik. Root olduktan sonra saldırganımız, ssh sunucusunu ve istemcisini kendi getirdiği sürümlerle değiştiriyor; aynı makinaya bağlanan başka kullanıcıların parolalarını topluyor. ssh istemcisini değiştirerek de, bu ele geçmiş makina üzerinden yapılan diğer ssh bağlantılarındaki parolaları da kaydediyor.

Olayın çapı oldukça geniş, ele geçirilen makina üzerinden geçerek bağlantı kurulan tüm diğer makinalar da ele geçirilmiş. Bunun içinde sunucular, asistanların ve hocaların ofislerindeki makinaları, ve bağlantı kurdukları evlerindeki diğer makinalar da var. Bize yapılan saldırının aynısının kendi makinalarınıza yapılıp yapılmadığına bakmak için aşağıdaki komutları kullanabilirsiniz. Eğer komutlar ekrana çıktı veriyorsa siz de etkilenmişsiniz demektir.

strings /usr/sbin/sshd|grep "password auth from"
strings /usr/bin/ssh|grep "password auth to"
Temiz bir makinada bu komutlar çıktı vermiyor. Ancak komutun çıktı vermemesi makinanıza girilmemiş olduğunu garantilemiyor. Farklı bir yöntem kullanılarak bilgisayarınıza girilmiş olabilir. Eğer komutlar çıktı veriyorsa bizim makinalarımızda kullanılan yöntem ile sizin makinanıza da girildiğinden emin olabilirsiniz.

Saldırganımız çaldığı paroları /usr/share/doc ve /usr/share/locale altındaki dosyalarda şifrelenmiş bir biçimde tutuyor. "file" komutu bunları "data" dosyası olarak gösteriyor. Şüpheli dosyaları aramak için aşağıdaki komutları kullanabilirsiniz. Kurduğunuz paketlere göre /usr/share/doc altında bazı "data" dosyaları bulunuyor olabilir, bunlara tek tek bakarak şüphelerinizi giderebilirsiniz.

find /usr/share/locale/ -exec file {} \; | grep ": data"
find /usr/share/doc/ -exec file {} \; | grep ": data"

İşletim sisteminin farklı olmasının pek faydası olmadı bu saldırıda. Debian ve Ubuntu'nun farklı sürümlerinin yanı sıra Gentoo makinalara da girildiğini tespit ettik. Pardus ya da Fedora gibi başka bir dağıtım kullanıyor olmanız sizi tek başına korumaz; parolanız ele geçirildiğinde sudo ile root olunabilir. Ya da -şimdilik- sadece hesabınızı etkileyen bir keylogger ile root parolası ele geçirilebilir. Neler yapabileceğinizle ilgili aşağıda öneriler var.

Eğer makinanıza girilmişse, makinanıza tekrar güvenebilmek için sıfırdan kurulum yapmalısınız, çünkü saldırgan root olduktan sonra nereye nasıl bir arka kapı koyduğunu bulamazsınız. (Bazı şeyler bulsanız bile hepsini bulduğunuzdan %100 emin olamazsınız).

Yeni kurulum yaptıktan sonra bu tarz bir saldırıdan korunmanın yollarını şöyle sıralayabiliriz:

  • Kurulu paketlere güncelleme geldiğinde bunları hemen uygulayın. Servisleri ya da makinayı yeniden başlatmanız gerekiyorsa bunu ertelemeyin. Kullandığınız dağıtımın güvenlik duyurularını takip edin. (Pardus, Debian, Ubuntu)
  • SSH bağlantılarını sadece sizin kullanıdığınız bir kaç IP adresine sınırlayın.
  • Parola ile girişleri devre dışı bırakın: sadece anahtar çiftleri ile girişe izin verin. Evet çok sert bir önlem ama, IP kısıtlaması uygulayamayacağınız kadar çok kullanıcınız varsa şart. iki yıl köşe kapmaca oynadıktan sonra makinaların kırılabilme eşiğini oldukça yükseltecek olan bu önlemi alacağız, sizlere de tavsiye ederiz. Böylelikle basit bir keylogger kullanarak yakalanan parola ile makinaya girilemeyecek, girilebilmesi için anahtar çiftindeki özel anahtar dosyasının da ele geçirilmesi gerekecek. Nasıl yapacağınızı öğrenmek için SSH ile anahtar çifti kullanımı yazısı faydalı olacaktır.
  • Tek kullanımlık parolalara geçin: diğer iki önlemle birlikte de kullanılabilir. Özel anahtar dosyasının ele geçmesi senaryosuna karşı da korunmuş olursunuz. tek kullanımlık parola(one time password) yazısı yardımcı olabilir.

Son olarak siz de bir kurban iseniz; makinası ele geçirilen sistem yöneticileri için terapi grubumuza bekleriz :)

4 Şubat 2009

Posted In: Debian, Gezegen, güvenlik, linux, oi, ssh

İstenmeyen e-postalarla(Spam) mücadele

"Spam" olarak da bilinen "İstenmeyen e-postalar" ile mücadelede çeşitli yöntemler var. Eğer gmail, yahoo, msn gibi web tabanlı e-posta sağlayıcılarını kullanıyorsanız bu sağlayıcının sunduğu olanaklar dışında bir şey kullanamıyorsunuz. Eğer kendi e-posta sunucunuz varsa veya kurumunuzun e-posta sunucusunu kullanıyorsanız [[ ya da kurumunuzun sunucusunu yönetiyorsanız ;) ]], büyük olasılıkla SpamAssassin kullanıyorsunuzdur.

Spamassasin çeşitli kuralları uygulayıp, karalisteleri denetleyip her e-postaya ona göre bir "spam puanı" veriyor. Bir e-postanın spam puanı belirli bir değerin üstüne çıktığında ise istenmeyen e-posta olarak sınıflandırılıyor, ya işaretleniyor ya da posta kutunuza teslim edilmiyor.

Bir süredir bana gelen her istenmeyen postayı kara listelere bildiriyorum. Sizlere de aynısını yapmanızı tavsiye ederim. Ne kadar çok istenmeyen posta şikayet edilirse kara listelerin etkinliği o derece artar. Ayrıca, Türkiye'den bu listelere bildirim -tahminimce- az olduğu için Türkçe gönderilen spamlar hak ettikleri muameleyi görmüyorlar :) Bunun üstesinden birlikte gelebiliriz.

İstenmeyen posta bildiriminin en kolay olduğu iki kara liste uribl ve spamcop. Uribl, e-postaların içinde reklamı yapılan web sayfa adreslerini listeliyor. Spamcop ise, en az iki farklı kişiden şikayet gelmesi durumunda istenmeyen e-postanın kaynaklandığı ip adresini kara listesine ekliyor, bunun yanında bu IP adresinin ve -varsa- reklamı yapılan web sayfasının yer aldığı ağın yöneticisini haberdar ediyor.

spamcop'u kullanmak için özel bir şeye ihtiyacınız yok, üye olup giriş yaptıktan sonra, size gelen istenmeyen e-posta iletisini "Tüm başlık bilgileriyle birlikte" sayfadaki kutuya yapıştırıp, "Process spam" düğmesine basıp bekliyorsunuz. Daha sonra karşınıza bir analiz geliyor, burada e-postanın geldiği ip adresini, bulunduğu ağı ve o ağın yöneticilerinin e-posta adreslerini görüyorsunuz. Reklamı yapılan web sayfası adresleri için de benzer bilgiler görünüyor. "Send Spam Reports Now" düğmesine bastığınızda da ilgilere e-posta gönderiliyor. Daha önce belirttiğim gibi, e-posta göndermenin yanı sıra, yeterli sayıda şikayet geldiğinde spamcop'un kendi kara listesine bu IP adresleri ekleniyor. Detayları spamcop web sayfasında bulabilirsiniz.

uribl sadece spam ile reklamı yapılan web adreslerini listelediği için çalışması biraz farklı. Üye olduktan sonra önce "lookup" sayfasına web adresini yazıp listede yer alıp almadığına bakıyorsunuz "NOT Listed on URIBL" cevabı alırsanız sağ tarafta "request listing" bağlantısına tıklayarak listeleme isteyebilirsiniz. Karşınıza gelecek ekranda "List (required)" kutusunun içinden liste seçmeniz lazım. URIBL'nin farklı listeleme seviyeleri var ancak tüm şikayetlerin "black" listesi üzerine yapılmasını istiyorlar. Bu istenmeyen posta ve web sayfası ile ilgili kısa bir açıklama yapıp aşağıya postayı yapıştırın, ancak yine "tüm başlık bilgileriyle beraber" yapacaksınız unutmayın.

URIBL ile ilgili bir gözlemim; bir web sayfasının kara listeye girmesi için bir insanın onayından geçmesi gerekiyor. Her kabul edilen gönderiniz size "itibar puanı" kazandırıyor. Eğer üye olunca hemen Türkçe spamları raporlarsanız içeriği anlamadıkları için ve puanınız düşük olduğu için listelemeyebiliyorlar. Önceleri sadece İngilizce spamları raporlayıp bir miktar puan aldıktan sonra Türkçeleri de göndermenizi öneririm.

Bir e-postanın tüm başlıklarını(header) nasıl alacağınızı bilmiyorsanız, örneğin Thunderbird'de postanın üzerine tıkladıktan sonra "ctrl+u" klavye kısayolunu veya "Görünüm->Mesaj Kaynağı" menüsünü kullanabilirsiniz.

El ele verip spam ile mücadele edelim. Tabii en büyük mücadele arkadaşlarınızı ve ailenizi, virüs yuvası olup spam göndermekten sürüm sürüm sürünen windows makinalarından kurtarıp onları Linux ile tanıştırmakla olur, belirtmeden geçmeyelim :)

25 Aralık 2008

Posted In: Gezegen, istenmeyen posta, oi, spam, spamcop, uribl

Cumhuriyetimiz 85 yaşında

Bugün Anıtkabir'e gittim, her gittiğimde yaşadığım karmaşık duygular yine içimi kapladı.

Hüzün; yaşananan zorlukların, yapılan fedakarlıkların, feda edilen canların hüznü

Heyecan; bir halkı kurtarmanın, yoktan bir ülke yaratmanın heyecanı, 85 yıl sonra bile fotoğraflardan, panaromalardan, yüzlerden okunuyor

Gurur; güvenebileceği hiç bir şeyi olmadığı halde, dünyanın güçlü devletlerini karşısına alma cesaretini göstermiş, ve sonunda başarılı olmuş bir ülkenin evladı olmaktan duyduğum gurur

Hüzün; ülkemin ne hale getirilmeye çalışıldığını, üstelik bunun ne kadar "başarılmış" olduğunu görmenin hüznü

Heyecan; yurttaşlarımın benzer şeyler hissettiğini görmekten kaynaklanan, "her şey kötüye gitmek zorunda değil, yine başarabiliriz" umudunun verdiği heyecan

Gurur ? Var mı, çok şey yapabiliriz belki de, yeteneklerimiz dahilinde olanın ne kadarını yapabiliyoruz ? Neler yapabiliriz ?

Daha az kalabalık olduğu bir günde Anıtkabir'e gider, müzenin her yanını, her plakayı okuyarak gezerseniz bugüne kadar neler kaçırdığınızı görebilirsiniz. Belki Cumhuriyet'in heyecanını tekrar damarlarınızda hissedersiniz. Belki, güneş açar, içiniz umut dolar. Nöbet değişimi saatlerine denk gelirseniz, satılmış zihinlerin akıttığı bütün o zehire rağmen Türk İnsanı'nın, Türk Askeri'ne ne kadar sevgi duyduğunu gürürsünüz, belki içiniz ferahlar.

29 Ekim 2008

Posted In: cumhuriyet, Gezegen, oi

WP Twitter Auto Publish Powered By : XYZScripts.com