Browse > Home /

| Subcribe RSS

Bilgisayarınızda Zombi var: Torpig BOTNET grubu 70GB bilgi çaldı!

May 8th, 2009 | No Comments | Posted in Güvenlik

Son zamanların gözde saldırı yöntemlerinden biri olarak gösterilen BOTNET sistemleri, siz farkında olmadan dışarıya bilgi sızdırmaya devam ediyor. Zombi Bilgisayarlar (Zombie PC) olarak adlandırılan bu sistem, PC kullanıcısının haberi olmadan arka planda çalışarak internet üzerinde çeşitli zararlara yol açmakla kalmıyor, kişisel bilgilerinizi de  çalıyor. Bunlara örnek olarak; Spam mail göndermek, Spyware ile PC’de yapılan işlem loglarını hedef sistemlere göndermek, web trafiğinizin takip edilmesi ve bunun gibi alternatif spyware, adware, trojan ve virüslere bağlı olarak farklı zararlar ver çeşitlendirmek mümkündür. Bu işlemlerin hepsi siz farkında olmadan yapılır. Yapmanız gereken tek şey, sisteminizi fazla kasmayan ve efektif bir güvenlik yazılımı kullanmak. Benim tavsiye ettiklerim arasında: Norton 360 ve Norton IS (ya da Gamer’s Edition), Kaspersky IS ya da AV, ESET NOD 32 gibi yazılımları kullanabilirsiniz. Genel olarak komple çözüm sunan Internet Security sürümleri gayet iyi iş çıkarabiliyorlar. Ücretli sürümlerini kullanmanız tavsiye olunur. Bu arada Norton yavaş diyenlere, özellikle Gamer’s Edition sürümünü denemelerini öneririm.

Gelelim konumuzun özüne. Dedim ya BOTNET’ler oldukça zararlı diye. Bunun en büyük avantajı tüm ZOMBİ’lerin birlikte hareket edebilmesi. Bu gruplardan biri olan ve “Torpig botnet” olarak bilinen BOTNET ağına sızan güvenlik uzmanları, çeşitli analizler yaparak bu grupların hangi programlara sızdığını tespit etmiş. BOTNET grubu yaratıcılarının yazdığı politikalara göre özellikle 20dk aralıklar boyunca; Mozilla Thunderbird, Microsoft Outlook, Skype, ICQ ve diğer 26 uygulamanın kayıtlarını kendi sunucularına aktaran Torpig botnet ağı, bu data alış-verişi toplamında tam 70GB’lık veri elde etmeyi başarmış gözüküyor. İlgili uygulamaların güvenlik tedbirleri olsa bile (SSL gibi) Torpig’in sistemi bu şifreleme gerçekleşmeden login ve şifre bilgilerinizi çalmaya yönelik…

Yetkililerin söylediğine göre bu BOTNET sistemine kayıt olan (tabii ki istemdışı) PC sayısı yaklaşık olarak 180,000 civarında. Tespit edilen IP sayısı ise tam olarak 1,200,000 olarak belirtilmiş. ZOMBİ Sisteminin rootkit kullanılarak gerçekleştirildiği ve ilgili bilgisayar sabit diskinin MBR’sini tekrar yazılarak, henüz boot edilmeden önce aktif edildiği için sistemde anti-virüs ya da güvenlik yazılımlarını bypass ettiği vurgulanmış.

İlgili güvenlik raporunu PDF formatında okuyabilirsiniz.

Tags: , , , , ,

TTNET ADSL müşterilerinin SMTP port değişikliği Spam Maillerin önüne geçebilir mi?

April 8th, 2009 | 28 Comments | Posted in e-posta güvenliği

Yahoo’daki BilgiGüvenliği grubunda da paylaşmıştım, konu ile ilgili gelişmeleri gördükten sonra, ilgili konudaki gelişmeleri görmek sevindirici. Hosting hizmeti de verdiğimizden, müşterilerimiz zaman zaman black list denilen ve dünya çapında yaygın olarak kullanılan spam engelleyici DNSBL olarak adlandırılan kara listelere girebiliyor. Geçtiğimiz aylarda bunun check işlemlerini yaparken, TTNET’in ciddi bir spam oranına sahip olduğunu görmüştüm (IP’miz temizdi ancak sağlayıcımız TTNET olduğu için ilgili TTNET IP bloğu blocklanmış gözüküyordu). Aşağıdaki tablolarda detaylarını bulabilirsiniz (Güncel olmayabilir, 25 Mart 09 verileridir).

http://www.uceprotect.net/en/rblcheck.php

Position Spammer Provider AS – Test
1. 90993 TTNET TTnet Autonomous System AS9121

UCEPROTECT-Level3

Reputation of ASN 9121 | TTNET TTnet Autonomous System

AS Status Provider has
total IP’s
Level 1 listed spammers
within the last 7 days
Escalation to Level 3
by Level 1 records
Optional Expressdelisting
WARNING!
PROBLEM MUST BE FIXED FIRST
TO PREVENT NEW LISTINGS
9121 LISTED 5908224 90993 (1.54 %) 11816
What means listed at UCEPROTECT-Level 3?
UCEPROTECT Network operates three levels of blacklisting, so our users can make the decision how strong they want to filter.
While UCEPROTECT-Level 1 lists single IP’s only, UCEPROTECT Level-2 escalates and lists spammy allocations.
UCEPROTECT-Level 3 is the highest possible escalaion, complete Autonomus Systems (AS) get listed at Level 3 if there were too many spamming IP’s (listed in Level 1) originating from said AS within the last 7 days.
If the provider harbours too many spammers and only has one ASN (Autonomus System Number) that logically means:
All IP’s of said provider get listed at Level 3 then.
While in fact UCEPROTECT-Level 3 is nothing than pure mathematics based on Level 1, one could best describe UCEPROTECT-Level 3 as a boycottlist.

Spam ile ilgili mücadele konusunu Şubat ayında yayınlanan neler yapabiliriz konulu başlıkta açıklamıştım. Bu konuda ilgili kurum, firmaların görüşlerini almak istemişti. Bu konuda ciddi gelişmelerin olduğunu belirtmemde fayda var. Hemen açıklayalım;

TTNet önderliğinde Mynet, Çizgi Telekom, DorukNet ve TTMail kurumları, Türkiye’de pilot bir uygulama başlatıyor. Bu uygulama kapsamında; SMTP protokolünün default olarak kullandığı 25. port yerine, 587 no’lu port kullanılmaya başlatılacak. Bu konuda özellikle mail gönderirken domain kullanımı yerine, IP lere ve ilgili 25. port ataklarına karşı önlem alınması planlanıyor. Bundan böyle ilgili sistemlerin 25. portlarının INBOUND’larına gelen trafiklere izin verilmeyerek, tamamen bloklanacak.

Konu ile ilgili olarak TTNET’in yaptığı açıklama ve ilgili güvenlik ayarlarını öğrenmek için bu adresi kullanabilirsiniz. Unutmayın, bu bir pilot uygulama ve etkilenecek şehirler şu şekilde sıralanıyor: Aydın, Bayburt, Diyarbakır, Giresun, Gümüşhane, Ordu, Rize, Sivas, Tokat, Trabzon.

Eğer bu şehirlerde yaşayan TTNET ADSL müşterisiyseniz, gerekli talimatları uygulayabilirsiniz.

Tags: , , , , , , , , ,
  • Site istatistik

    Bugünkü ziyaret: 41
  • Add to Technorati Favorites

    Mail adresinizi girin:



  • Google Connnect
  • RSS DarkHardWare News