Basit bir malware scanner

Team Cymru tarafından hazırlanan Malware Hash Registry (MHR) projesi farklı protokoller üzerinden zararlı yazılım sorgulama servisi sağlıyor.

Bilinmeyen veya şüpheli dosyaların hızlıca sorgulanabilmesi için çok kullanışlı bir servis. Servis Whois, DNS ve HTTP/S protokolleri üzerinden dosya md5 veya sha1 hash değeri ile sorgulama yapmanıza olanak sağlıyor.

Cymru ekibi ayrıca Windows bilgisayarlar için, çalışan işlemleri ve disk üzerindeki dosyaları tarayabileceğiniz WinMHR adlı yazılımı kullanımınıza sunuyor.

Peki farklı platformlarda bu servisi kullanabileceğimiz basit bir malware scanner hazırlayabilir miyiz? Pek tabi. Bunun için DNS protokolü üzerinden çalışan bir script hazırladım.

Read the rest of this entry »

Bilgi güvenligi bilinçlendirme ve Son kullanıcıların dikkat etmesi gerekenler

Son altı yıldır olduğu gibi bu yıl da Ekim, ABD’de Ulusal Bilgi Güvenliği Farkındalığı ayı. Duyurusu burada bulunabilir. Geçen sene bilgi güvenliği farkındalığı ile ilgili bu yazıda biraz bilgi aktarmıştım.

Bu ay tüm bilgisayar kullanıcılarının kendilerini ev, işyeri ve okullarda tehditlere karşı korumaları açısından yardımcı olunması için çeşitli etkinlikler düzenleniyor, bilgilendirmeler yapılıyor.
Bu birikimler bu konularda Türkçe içerik oluşturmak isteyenlere de katkı sağlayacaktır. Bu sayede bizim kullanıcılarımız da bilinçlenerek, kişisel varlık ve bilgilerini koruyabilirler.
Son kullanıcıların dikkat etmesi gerekenler
Lisanslı yazılım kullanın, lisanssız yazılımları sağlayan kişiler bu yazılımlara farkedemeyeceğiniz zararlı kodlar yerleştirebilirler.
Güvenlik güncellemelerini yapın, işletim sistemi ve kullandığınız diğer yazılımlar güvenlik problemlerine karşı sürekli güncellenmektedir.
Mutlaka bir Antivirus yazılımı kullanın. Mac OS X kullanıyorum ve bana zararlı yazılım bulaşmaz diye düşünerek, şahsi bilgilerinizi pazarlama stratejilerine kurban etmeyin. Antivirus yazılımlarına ücret ödemek istemiyorsanız, Microsoft Security Essentials‘ı kurup kullanabilirsiniz.
– Bilgisayarınızın güvenlik duvarını(Firewall) aktif hale getirin.
Online bankacılık sistemlerinde bulunan güvenlik kalkanı adlı bileşenleri yükleyin.
Online bankacılık sistemlerinde şifre güvenliği için, mutlaka şifrematik benzeri cihazlar kullanın.
Tüm e-posta’lara inanmayın, bankalar ve çeşitli kuruluşlardan geliyor gibi gözüken e-mailler, kişisel bilgilerinizi elde etme amaçlı olabilir.
Yalnızca güvendiğiniz bilgisayarları kullanın, farklı bilgisayarlarda yaptığınız kişisel işlemler (şifre, kişisel verilerin girilmesi, çeşitli bilgi paylaşımı) kötü niyetli kişiler tarafından elde edilebilir.
Şifrelerinizde büyük harf, küçük harf ve rakam bulunsun, bu çok zor değil, örneğin Persembe1969! daha kolay akılda kalır, deneme yanılma ile bulunması daha zordur.
Şifrelerinizi düzenli olarak değiştirin,
Şifreleriniz birbirinden farklı olsun, en azından finansal işlemler, e-posta şifreleri, önem verdiğiniz web siteleri ve diğer web siteleri olarak 4 farklı şifreniz olsun. Bu sayede bir şifrenizi elde eden saldırgan, tüm verilerinize erişemez.
Bunlar şu an aklıma gelenler. Çeşitli Türkçe kaynaklarda bulunan, bilgisayar güvenliği için dikkat etmeniz gerekenler yazılarını okuyarak bilincinizi arttırabilirsiniz.
Örneğin bankaların güvenlik sayfalarında, online bankacılık güvenliği hakkında bilgi olduğu gibi, bu işin olması için temel gereksinim olan bilgisayar güvenliği için de bilgiler bulunmaktadır (Türkiye İş Bankası Güvenlik sayfası, Garanti Bankası Güvenlik sayfası, Yapı Kredi 10 Altın İpucu sayfası).

Trend Micro IMSS ve IWSS’in aynı sunucuda çalıştırılması

Trend Micro’nun IMSS ve IWSS gateway ürünleri aynı sunucu üzerine kurulduğunda problem yaşanabiliyor.

Aşağıdaki adımları izleyerek aynı sunucu üzerinde problemsiz çalışmasını sağlayabilirsiniz:

  1. Önce IMSS’i problemsiz bir şekilde kurun, ayarlarını yapın ve çalışır hale getirin,
  2. Ardından IWSS’i kurun (IMSS ile aynı veritabanı sunucusunu kullanabilir, IWSS için yeni bir veritabanı yaratın),

Yazılımların yeni sürümlerinde ek olarak aşağıdaki ayarı yapmak gerekiyor:

  1. Linux üzerine kurulumlarda /opt/trend/iwss/data/tomcat/conf/server.xml dosyasını, Windows üzerine kurulumlarda ise “C:\Program Files\Trend Micro\InterScan Web Security Suite\tomcat\conf\server.xml” dosyasını bir metin editörü ile açın

  2. bölümündeki port değerini, 8005 dışında servis vermeyen bir değerle değiştirin. Örneğin 8006.

Bu şekilde aynı sunucu üzerinde hem IMSS hem de IWSS yazılımlarınız problemsiz çalışacaktır.

Linux üzerinde Trend Micro IMSS kurulumu

Trend Micro InterScan Messaging Security Suite ürünü bir SMTP/POP3 gateway olarak çalışan ve son 7.0 sürümü eskilerine oranla oldukça başarılı bir antivirus/antispam gateway yazılımı.

Genelde Windows üzerine kurulan ürün Microsoft SQL sunucusu gerektiriyor. MSDE ile kullanmanızı önermiyorum. Mutlaka MSSQL kurunuz.
Ürünün windows üzerine kurulumu oldukça kolay, ancak iş Linux tarafına gelince biraz değişiyor. Çünkü bunun için biraz linux bilgisi, mail server kurulum ve ayar bilgisi ve kurulum dokümanının dikkatli olarak okunmuş olması gerekiyor.

Son yaptığım kurulum sırasında bazı kurulum notları aldım, düzgün olmasa da bunları aktaracağım. Linux üzerinde IMSS kuracak olan arkadaşlara hızlı bir referans kaynağı olacaktır. Aşağıda anlamsız gelen adımların detayları IMSS kurulum dokümanında bulunuyor.

Gereksinimler:

  1. Postfix, Qmail veya Sendmail
  2. PostgreSQL (Yoksa IMSS kurulumu kendisi kuruyor)
  3. Diğer gereksinimleri ürünün kendisi kuruyor.

Özet olarak Linux üzerinde kurulumuna değinecek olursak:

  1. Installation Guide dokümanını mutlaka okuyun. Aşağıdaki işlemlerin detayları orada bulunuyor.
  2. IMSS’in hangi Linux sürümlerini desteklediğine dikkat edin.
  3. Sisteme readline uyumluluk paketini kurun (compat-readline43-4.3-3).
  4. Postfix mail sunucusu kurarak sunucuyu bir inbound gateway olacak şekilde ayarlayın.
  5. Organizasyon domainleriniz için Postfix’e gelen maillerin, içerideki mail sunucularınıza gönderildiğini kontrol edin.
  6. IMSS “central controller” ve “scanner service” bileşenlerini kurun (PostgreSQL veritabanını burada kuracaktır)
  7. IMSS web arabirimi üzerinden ürün lisanslarını girin ve ayarlarını yapın.
  8. Postfix konfigürasyon dosyaları içerisinde content filter ayarlarını yapın ve “postfix reload” diyerek IMSS’in devreye girmesini sağlayın.
  9. Bu sunucuya gönderilen bir mailin, içeride ilgili mail sunucusuna gönderildiğini kontrol edin.

Yukarıdakileri yaptığımızda, gelen spam’leri network seviyesinde engelleyen IP Filtering (NRS ve IP Profiler) kurulmuş olmuyor. Lisansınız varsa spam’leri engellemede mutlaka kullanmanızı öneririm. Aşağıdaki adımlara devam edin:

  1. Postfix’i TCP 2500 port’unda çalışacak şekilde ayarlayın. (IP Filtering bileşeni 25. port’u kendisi dinleyecek ve filtrelemelerini yaptıktan sonra port 2500’de çalışan postfix’e bağlanarak proxy’lik yapacak)
  2. IP Filtering bileşenlerini kurun.
  3. Lisansları girerek web yönetim arabiriminden gerekli konfigürasyonları yapın.
  4. 25. port’a telnet ile bağlandığınızda Postfix’in geldiğinden emin olun.
  5. Bu sunucuya gönderilen bir mailin, içeride ilgili mail sunucusuna gönderildiğini kontrol edin.

Son olarak şu işlemleri yapmak gerekiyor:

  1. Ürünün SP1 yamasını ve SP1 patch 1 yamasını mutlaka yükleyin.
  2. Mail işlevinin çalıştığından emin olun.
  3. Linux sistem açılış script’ine (Ör: /etc/rc.local) aşağıdaki satırı ekleyin.
    /opt/trend/imss/script/imssstart.sh
  4. Sunucuyu yeniden başlatarak, olası restart sonrası herşeyin problemsiz çalışacağından emin olun.
  5. Dışarıdan gelen maillerin, Trend Micro IMSS ürününe yönlendirilmesini sağlayın.

Yukarıdaki sırayla takip edilmesi gereken adımlar, umarım Trend Micro IMSS yazılımının Linux üzerinde kurmanızı kolaylaştırır. Zor değil, okumak gerekiyor.

conime.exe PWS-LegMir hatalı tespiti

Windows Vista üzerinde McAfee antivirus yazılımını kullanıyorsanız, system32 klasöründe bulunan conime.exe dosyası PWS-LegMir trojan yazılımı gibi algılanabilir!

Bu hatalı algılama, McAfee antivirus yazılımlarının 5409 dat sürümlü veritabanından kaynaklanıyor.

Hatalı algılama problemini gidermek için antivirus veritabanını 5410 sürümüne güncellemek gerekiyor.

Yine de tekrar kontrol edebilmek için dosyanın md5 imzası
conime.exe – Windows Vista console IME (MD5: F96EBC5A624349D81DCC7600A3C5DC43)

Detaylı bilgi burada bulunabilir.

McAfee antivirus tarama motorunu hizlandiriyor

Senelerdir McAfee’nin yavasligindan ve haliyle sistemi aglatmasindan sikayetciyim. Sonunda McAfee sesimi duydu.

Buradaki yaziya gore McAfee, yeni 5300 surum kodlu virus tarama motoru ile hafiza kullanimini azaltirken, calisma hizini da arttiriyor(mus).

McAfee virus koruma ve ek ozellikleri konusunda cok basarili olsa da, Windows sistemlerin ilk acilisini asiri yavaslatmasi ve performansi etkilemesi ile de hafizamdaki yerini koruyor.

Symantec Antivirus Reporting – SQL sifresinin degistirilmesi

Symantec AntiVirus Corporate Edition yazilimin 10.1 surumune, web tabanli bir raporlama ozelligi eklenmis.

Uygulama PHP ile yazilmis, verilerini MSSQL’de tutuyor. Kurulum icin IIS ve MSSQL gerektiriyor. PHP ile ilgili ek bir kurulum veya ayar yapmak gerekmiyor. Kendisini kurarken PHP’yi de /Reporting/ klasorunde calisacak sekilde ayarliyor. Varolan bir MSSQL kullanilmazsa veya urunun kurulacagi makina uzerinde MSSQL yoksa MSDE kuruyor olabilir. Ona dikkat etmemisim.

Urunu kurdugunuz makinanin bolgesel ayarlari (regional settings) Ingilizce olmazsa problem cikartiyor. Bunun disinda yaptigim bir kurulumda, veritabaninin collation ayarinin turkce olmasindan dolayi da problem ciktigini gordum. Yani yaratilan veritabaninin da collation ayarlarinin standart olmasi gerekiyor (Sanirim Latin1_General, code page 1252 olarak geciyordu).

Reporting web arabiriminden belirli raporlar alabildiginiz gibi, belirli olaylar karsisinda alarm uretilecek sekilde ayar yapabiliyorsunuz(alerts bolumunden). Bu alarmlar veritabanina yazilabilir, mail ile gelebilir veya alarm uretildiginde alert agent icerisinde ayarlamis oldugunuz bat dosyasi calistirilabilir.

Neyse, aslinda soyleyecegim bu degildi. Reporting’i kurdugum bir yerde, urunun MSSQL ‘e baglandigi sifreyi degistirmem gerekti. Sifreyi 3 farkli yerde degistirmek gerektigi icin, ihtiyaci olanlar aramasin diye dusunerek aktarmak istedim.

  1. ODBC ayarlari: Makinanin ODBC ayarlarinda “Reporting” DSN ayarini degistirmek gerekiyor (Start > Programs > Administrative Tools > Data Sources (ODBC) icerisinde System DSN bolumunde)
  2. “C:\Program Files\Symantec\Reporting Server\Web\Resources” klasoru icerisindeki “Reporter.php” dosyasini acarak, buradaki “dbpasswd” degiskenini degistirmek gerekiyor
  3. “C:\Program Files\Common Files\Symantec Shared\Reporting Agents\Win32” klasoru icerisindeki “Reporter.conf” dosyasinda bulunan “DBPWD” degiskenini degistirmek gerekiyor

Tum bu islemler yapildiktan sonra “Reporting Agents” servisi yeniden baslatilarak, urunun problemsiz calistigi web arabirimi uzerinden kontrol edilebilir.

Ransomware: fidyeci trojan

Ransomware, bulastigi bilgisayardaki belirli verileri sifreleyen ve desifre edilmesi karsiliginda kurban kullanicidan fidye talep eden zararli yazilimlardir.

Bu tipte yazilimlarin ilk ornegi PC CYBORG (AIDS). 1989 yilinda AIDS’ten korunma ile ilgili bilgi iceriyormus gibi gozuken “AIDS Information – An Introductory Diskette” etiketli disketler kullanicilara problem yasatmis. Cesitli kanallarla yapilan duyurulari[1], gunumuzdeki phishing uyarilari gibi, kullanicilarin yeterince onemsedigini(?) dusunuyorum.
2005 yilinda karsilasilan Gpcode (kullanicilarin dosyalarini sifreleyerek, desifre islemi icin ucret talep ediyor) ve Krotten (kullanicilarin windows registry ayarlarini degistirerek, eski haline getirilmesi icin ucret talep ediyor), 2006’da karsilasilan Ransom.a, Cryzip(Zippo), Arhiveus, Skowor ve belki daha niceleri kullanicilarin onemli verilerini tehdit eden yazilimlardan.
Yukarida bahsettigim zararli yazilimlarin sifreleme algoritmalari antivirus ureticileri tarafindan kirilmis, sifreli olanlarin sifreleri bulunmus durumda. Yani guncel antivirus yazilimlari sayesinde bunlar kullanicilar icin risk icermiyor. Ancak ya bundan sonrakiler?

Ransomware kategorisindeki zararli yazilimlar onumuzdeki zamanlarda daha cok kendilerinden soz ettirecek gibi gozukuyor. Basta onemli verilerin duzenli yedeklenmesi olmak uzere, kullanicilarin ve sistem yoneticilerinin hassas verileri korumak icin almalari gereken onleyici cozumleri bir an once almalari gerekiyor.
Bu tarz santajlar karsiliginda verilen paranin, verileri geri getireceginin hic bir garantisi yok. Bu nedenle bunlara uymak yerine, antivirus yazilimlari ile cozum yoluna gitmek mantiklidir.

Gecenlerde rastladigim Arhiveus ve Cryzip zararli yazilimlarinin analizlerine suradan ulasabilirsiniz: 1, 2

Trend Micro IMSS Kayip Administrator Sifresini Sifirlama

Trend Micro InterScan Messaging Security Suite (IMSS) urunu yonetim ekrani sifresini bilmedigim bir yerde sifirlamam gerekti. Bu islem su sekilde yapiliyor:

Yazilimin kurulu oldugu yerde (OR: C:\Program Files\Trend\IMSS) IsntSmtp.ini dosyasi icerisindeki
UILoginPassword=!CRYPT!20…….EF5C40…… -aralar silinmistir-
satirini
UILoginPassword=
haline getirip dosyayi kaydettikten sonra, “Trend Micro Management Infrastructure” servisini yeniden baslatmak gerekiyor.

Yapilan bu islemin ardindan, IMSS yonetici ekranina ilk kuruldugundaki gibi bos sifre ile giris yapilabiliyor.