Trend Micro IMSS Kayip Administrator Sifresini Sifirlama

Trend Micro InterScan Messaging Security Suite (IMSS) urunu yonetim ekrani sifresini bilmedigim bir yerde sifirlamam gerekti. Bu islem su sekilde yapiliyor:

Yazilimin kurulu oldugu yerde (OR: C:\Program Files\Trend\IMSS) IsntSmtp.ini dosyasi icerisindeki
UILoginPassword=!CRYPT!20…….EF5C40…… -aralar silinmistir-
satirini
UILoginPassword=
haline getirip dosyayi kaydettikten sonra, “Trend Micro Management Infrastructure” servisini yeniden baslatmak gerekiyor.

Yapilan bu islemin ardindan, IMSS yonetici ekranina ilk kuruldugundaki gibi bos sifre ile giris yapilabiliyor.

PGP Desktop 9.0

Ilk ciktiginda PGP Desktop 9.0‘i [alternatif link] incelemistim. Urune genel olarak bakarsak, eski surumlerinden farkli olan ozellikler:
  • Whole disk encryption
  • Politika bazli e-mail sifreleme
  • AIM(AOL Instant Messenger) trafigi sifreleme
PGP Whole Disk ile tum diskin sifrelenebilmesini saglamak mumkun. Bu islem yapildiktan sonra,sistem acilisinda girilecek bir sifre veya bir token’da saklanan pgp anahtari ile verilere erisim saglanabiliyor.
Bu ozelligin sadece PGP Desktop Professional 9.0‘da mevcut oldugunu, ve Windows XP SP1 veya SP2 ile desteklendigini hemen belirteyim. Urunun sayfasindaki bilgiye gore Windows 2000 desteginin de ileride eklenecegi planlanmis.
PGP Desktop Home serisini kullanan kullanicilar, isletim sistemi bu ozelligi kullanmak icin uygun olmayanlar veya herhangi bir nedenden oturu kullanmak istemeyenler ise bunun yerine olusturacaklari sanal disk ile hassas verilerini guvenli bir sekilde saklayabilirler.

PGP’nin daha onceki surumlerinde de bulunan PGP Virtual Disk ozelligi ile sifrelenmis bir dosya olusturup, bunu yeni bir diskmis gibi mount etmek (otomatik veya istenildiginde) mumkun. Bu sanal disk belirlenecek bir sifre ile sifrelenebilecegi gibi, pgp anahtarinizla da sifrelenebilir. Tek dikkat edilmesi gereken, diskin boyutunu ilk olustururken iyi planlamak, cunku bu sanal disklerin, diger tum disklerde oldugu gibi, otomatik olarak genisleme ozelligi yok ;)

PGP Virtual Disk ile yasadigim tek sorun, bu diski eger ag uzerinde (ornegin yerel aginizdaki dosya sunucunuzda) SMB paylasimi uzerinden kullaniyorsaniz ve diski unmount etmeden Windows’unuzu kapatirsaniz, meshur mavi ekranla karsilasabiliyorsunuz.
Bu sorunun, benim Windows’un varsayilan shell’i explorer yerine bbLean kullanmamdan kaynaklaniyor olabilecegini de dusunebiliriz. Fluxbox aliskanligim yuzunden Windows uzerinde ancak bu sekilde rahat edebiliyorum.

Politika bazli e-mail sifreleme‘deki fark, eskiden oldugu gibi e-mail client’inizda e-mail’i olustururken, “bu e-mail’i sifrele”, “bu e-mail’i imzala” gibi secmek yerine; e-mail gonderilirken, gonderilen e-mail’i ag seviyesinde kendisi uzerinden gecirip programda belirtilen politikalara gore sifreleme/imzalama kararlarini vermesi olarak aciklanabilir. Bunun guzel artilari var, ancak bazi nedenlerden dolayi kisisel olarak pek hoslanmadigimi soyleyebilirim.

Oncelikle ‘politika’dan kasit nedir, PGP ile gelen varsayilan politikalardan birisinde bunu gorelim.

Aciklama(Description) bolumunde politikaniza bir isim veriyorsunuz, ardindan asagidakileri belirterek kuralimizi olusturuyoruz:

  • Kosul: Kosul belirleyerek(ornegin mesaj basliginda [PGP] varsa, mesaj gizli olarak isaretlenmisse, belirlediginiz domain’e veya kisiye gidiyorsa); gonderilen e-mail’in belirleyebileceginiz kosullarin hepsine(If all), herhangi birisine(If any) veya hic birisine(If none) uyma durumu
  • Aksiyon: Imzala ve/veya sifrele
  • Istisna: Alicinin PGP anahtari bizde bulunmuyorsa anahtarini anahtar sunucularda ara, anahtari bulamazsan mesaji blokla veya duz metin olarak gonder
Bu sayede olusturdugunuz politikalarla, isi kullaniciya birakmadan belirttiginiz kosullarda kesinlikle sifrelenebilmesini aksi taktirde gonderilmemesini saglayabiliyorsunuz.
Yine bu sayede kullanici hangi e-mail istemcisini kullanirsa kullansin, PGP uzerinden gececegi icin sifreleme saglamis oluyorsunuz. Bu sayede PGP e-mail client destegi otomatik olarak daha genis bir alana yayilmis oluyor.

AOL Instant Messaging trafigi, iki taraf da PGP Desktop 9.0 yazilimini kullaniyorsa saglanabiliyor. Yine ag uzerinden gecen AIM trafigi otomatik olarak karsilikli sifrelenmis oluyor. Bu gunlerde cevremdeki insanlarin daha yaygin olarak MSN Messenger kullandigini gordugumde bu urunle ilgili pek fazla bir arti yaratmiyor.

Gelelim urunun sevmedigim ozelligine. Yukarida anlattigim e-mail sifreleme ve AOL sifreleme, PGP’nin trafigi uzerinden gecirmesini gerektiriyor ki bu da ag trafigini uzerinden gecirmesine neden oluyor. Malesef _PGP’nin bu 2 ozelligini kapatmama ragmen_ bu anormalligi duzeltebilmis degilim. Asagida bazi ekran goruntuleri ve bu ekran goruntuleri ile ilgili notlarim var:

Ilk ekran goruntusunde gorebileceginiz gibi PGP AIM Proxy ozelligi kapali olmasina ragmen, 5190. port’a yaptigim bir istegi PGP karsiliyor, ve disariya kullandigim netcat yerine kendisi baglanti yapmaya calisiyor.

Ikinci ekran goruntusundeyse, olmayan bir IP adresinin 5190. portuna yapmaya calistigim bir baglantiyi netcat yerine kendisi yapmaya calisiyor. Yine PGP secenekleri ekraninda gorulebilecegi gibi, “Encrypt instant messages” secenegi isaretli degil.

Son olarak wget ile yaptigim bir web isteginin bile kendisi uzerinden gecmeye calistigini gordum. PGP’nin disariya cikis iznini blokladigimda, ikinci baglanti istegini kendi uzerinden gecirmeye calismiyor.

PGP Desktop 9.0 urununun 30 gunluk deneme surumunu PGP’nin sitesinden edinebilirsiniz. Bu deneme surumunun de PGP Whole Disk ozelligini kapsamadigi belirtilmis.

PGP Desktop urununun teknik ozelliklerine buradan(Professional, Home) bakabilirsiniz.

Cryptoloop kullanimi

Oncelikle Whoppix‘i Auditor‘e tercih ettigimi belirtmeliyim. Bunda Auditor’u ilk ciktigi siralarda denemem, ve klavye basta olmak uzere(yanlis hatirlamiyorsam varsayilan klavye isvec olarak geliyordu) bazi problemler yasamam, ve Whoppix’in icerik olarak Auditor’e gore daha zengin olmasinin rolu buyuk.
Ancak Auditor’un gecen gun denemek uzere indirdigim ve bu yazida gecen cryptoloop’u denedigim surumunde bir problem yasamadim. (auditor-200605-02-ipw2100.iso)

Bir penetrasyon testinin Auditor ile yaptigim kisminda elde ettigim sonuclari kendime sifrelenmis bir sekilde gondermek istedigimde, aklima cryptoloop geldi. Sifrelenmis bir disk olusturup, tarama sonuclarini icerisine koyarak kendime guvenli bir sekilde ulastirabilecektim ve daha sonra, belirledigim 20 karakterin uzerindeki kompleks sifre ile tarama sonuclarina ulasabilecektim.
Loop-AES veya baska bir cozumun daha iyi olup olmadigi konularina fazla girmeden, buldugum Cryptoloop HOWTO dokumani ve losetup(8) man sayfasi ile ihtiyacimi gidermeye odaklandim.

Asagida, yukaridaki amaci gerceklestirmek icin Auditor ile yaptigim tum adimlari aralarina comment ekleyerek anlatiyor olucam. Veriler bir USB disk uzerinde saklanacaksa, ozel bilgiler olacagi icin asagidaki yontemle saklamakta fayda olacaktir.


root@1[~]# lsmod |grep crypt

cryptoloop modul olarak derlenmis(bknz. /boot/auditor-config), ancak aktif moduller arasinda gozukmuyor. Cryptoloop kullanabilmek icin bu module ihtiyacimiz olacak.

root@1[~]# modprobe cryptoloop
root@1[~]# lsmod |grep crypt
cryptoloop 3072 0

10mb boyutunda bir dosya olusturalim. Verileri kendimize mail ile gondereceksek daha ufak bir dosya olusturmakta fayda var. (Dosya sistemini olusturmada problem yaratmayacak kadar)

NOT: Cryptoloop HOWTO dokumaninda dd kullanimi ornek alinabilir.
root@1[~]# dd if=/dev/zero of=kripton bs=1024k count=10
10+0 records in
10+0 records out
10485760 bytes transferred in 0.025614 seconds (409377115 bytes/sec)

10mb boyutundaki dosyamizi gorelim
root@1[~]# ls -lh kripton
-rw-r--r-- 1 root root 10M Jun 27 21:46 kripton

Sifrelenmis dosya sistemini olusturalim, ext3 olarak formatlayalim ve /mnt/crypto dizinine mount edelim.


-e AES256 : 256 bit AES sifreleme kullan,
-T : belirleyecegimiz sifreyi iki kere sor
root@1[~]# losetup -T -e AES256 /dev/loop2 kripton
Password:
Retype password:
root@1[~]# mkfs.ext3 /dev/loop2
mke2fs 1.35 (28-Feb-2004)
Filesystem label=
OS type: Linux
Block size=1024 (log=0)
Fragment size=1024 (log=0)
2560 inodes, 10240 blocks
512 blocks (5.00%) reserved for the super user
First data block=1
2 block groups
8192 blocks per group, 8192 fragments per group
1280 inodes per group
Superblock backups stored on blocks:
8193

Writing inode tables: done
Creating journal (1024 blocks): done
Writing superblocks and filesystem accounting information: done

This filesystem will be automatically checked every 30 mounts or
180 days, whichever comes first. Use tune2fs -c or -i to override.
root@1[~]# mkdir /mnt/crypto
root@1[~]# mount -t ext3 /dev/loop2 /mnt/crypto/

Yeni diskimizin icerigi:
root@1[~]# ls -la /mnt/crypto/
total 14
drwxr-xr-x 3 root root 1024 Jun 27 21:51 .
drwxr-xr-x 12 root root 1024 Jun 27 21:51 ..
drwx------ 2 root root 12288 Jun 27 21:51 lost+found

Tarama sonuclarini sIkistirarak, yeni olusturdugumuz diske tasiyalim
root@1[~]# tar -jcf c-scan-results.tgz c/
root@1[~]# mv c-scan-results.tgz /mnt/crypto/
root@1[~]# ls -lh /mnt/crypto/
total 18K
-rw-r--r-- 1 root root 5.5K Jun 27 21:53 c-scan-results.tgz
drwx------ 2 root root 12K Jun 27 21:51 lost+found

Diski unmount edelim
root@1[~]# umount /mnt/crypto
root@1[~]# losetup -d /dev/loop2
root@1[~]#

Ileride diski kullanmak istedigimizde, cryptoloop modulunu yukledikten sonra asagidaki adimlari izleyebiliriz.

Yanlis sifre ile deniyorum:
root@3[knoppix]# mount kripton /mnt/crypto/ -oencryption=aes-256 -t ext3
Password:
mount: wrong fs type, bad option, bad superblock on /dev/loop2,
missing codepage or other error
In some cases useful info is found in syslog - try
dmesg | tail or so

Dogru sifre ile deniyorum:
root@3[knoppix]# mount kripton /mnt/crypto/ -oencryption=aes-256 -t ext3
Password:

Dosyalarim yerli yerinde ;)
root@3[knoppix]# ls -l /mnt/crypto/
total 18
-rw-r--r-- 1 root root 5570 Jun 27 21:53 c-scan-results.tgz
drwx------ 2 root root 12288 Jun 27 21:51 lost+found
root@3[knoppix]# losetup -a
/dev/loop0: [1600]:2118 (/cdrom/KNOPPIX/KNOPPIX)
/dev/loop1: [000c]:47499 (kripton) encryption=CryptoAPI/aes-cbc
root@3[knoppix]# umount /mnt/crypto
root@3[knoppix]# losetup -a
/dev/loop0: [1600]:2118 (/cdrom/KNOPPIX/KNOPPIX)

Wireless aglarda guvenlik problemleri

Wireless aglarda WEP kullanimi wireless aglarin guvenligini saglamakta yetersiz kaliyor.

  • MAC adresine gore erisim kisitlanmasi kolayca asilabiliyor
  • “WEP anahtarini kirabilmek icin yeterli veri toplanilmasi gerekiyor, dolayisiyla WEP anahtarini duzenli araliklarda degistirmek problemimizi giderir” fikri de curutulmus durumda. Konuyla ilgili bir grup FBI ajaninin yaptigi, yaklasik 3 dakikada WEP anahtarinin kirilmasi demonstrasyonu hakkinda bilgiye buradan ulasilabilir. WEP anahtari kirma demolari, guvenlik ile ilgili olan live cd dagitimlarinin web sitelerinde yerlerini almis bile.

WEP yerine WPA kullanilmasi gerekiyor. Ancak WPA-PSK (WPA and a pre-shared key) kullaniminda passphrase secimi cok onemli, cunku bu passphrase brute-force(deneme/yanilma) saldirilarina acik. Dolayisiyla uzun ve kompleks passphrase secimi onem kazaniyor.
Bu brute-force saldirisinin nasil yapilabildigini gormek icin, bugun rasladigim WPA Cracking demonstrasyonu izlenebilir.

Su sira en iyi secim, WPA-Enterprise olarak gecen, WPA + 802.1x kullanimi olarak gozukuyor.

Network VirusWall

Trend Micro’nun Network VirusWall ailesinden, Network VirusWall 1200 cihazini cok kisa bir sure test etme imkani bulduk. Asil ozelliklerini hakkini vererek test edemediysek de, urunu duydugumuzda kafamizda beliren McAfee Webshield veya Panda GateDefender cihazlari gibi bir antivirus gateway olabilecegi dusuncelerimizin cevabini almis bulunuyoruz.

Sayfasinda da gorebileceginiz gibi urunun, ag trafigini guvenlik aciklarini tetikleyen aktivitelere ve solucanlara (worm) karsi izleyerek bu gibi durumlari engelleme, solucan salginlarini durdurabilme, kullanici bilgisayarlarina ek bir program kurmaksizin bilgisayar butunluk ve guvenlik politikasina uyumluluk kontrolu yapabilme (Sygate urunlerinde oldugu gibi), ve diger ozellikleri bulunuyor.

Urun Control Manager ile yonetiliyor. Control manager ile haberlesebilmesi icin cihazin ayarlarini seri port uzerinden hizlica yaptiktan ve cihazlari gorusturdukten sonra, test icin arkasina bir client yerlestirdik.

Network VirusWall, cesitli web ve email virus testlerinden sinifta kalsa da, Nimda ve diger bazi solucan aktivitelerini engelleyebildi.
Dolayisiyla, asil amacinin antivirus gateway’lik olmadigini gordugum Network VirusWall ile, antivirus’u calismayan, guncel durumda olmayan veya gerekli guvenlik yamalari gecilmemis bilgisayarlarin erisimleri sinirlanabilir. (bu ozelligi test edilemedi)

Avantajlari
-Urun layer2’de calisiyor, ag topolojisinde bir degisiklige gerek kalmiyor
-Cihaz kapatildiginda uzerinden trafik gecirebiliyor
-Yaptigimiz testlerde streaming olan sayfalarda problem yaratmadi (aslinda bu genellikle virus gateway’lerin bir sorunu olarak karsimiza cikiyor)

Urunu tam olarak deneme imkanim olmadigi icin detayli bilgi aktaramiyorum.

Urun ozellikleri, pazardaki hangi urunlerle benzerligi oldugu, ve karsilamaya calistigi eksiklikler; urun sayfasinda ve uretici tarafindan hazirlanan urun karsilastirma dokumaninda gorulebilir.

Kerio Personal Firewall 4 inceleme

Kerio personal firewall (KPF) yazilimini bir suredir kendi bilgisayarimda deniyorum. Urunun ozellikleri hosuma gitti. Weble ilgili karsilastigim bir problem disinda kullandigim diger ozellikleriyle fazla problem yasatmadi. Cok fazla zaman ayirmak istemedigim icin burada urunun butun ozelliklerinden bahsetmiycem, ama ana hatlariyla urunu anlatmak istiyorum.

Urunun ana ekranini actiginizda (configuration olarak geciyor) yukaridaki sekilde[1] goruldugu gibi, hangi programin ag uzerinde o an ne kadar trafik harcadigi, nereye hangi port’tan bagli oldugu, ve hangi uygulamanin hangi port’u dinledigi gorulebiliyor.

Ilk Kullanim ve Network Kurallari

Ilk olarak bilgisayarinizin bagli oldugu network hakkinda bilgi vermenizi istiyor. Guvenilir (trusted), veya guvenilir olmayan (untrusted) bir network’te olup olmadigimizi soruyor ve bu network’e bir isim vermemizi istiyor. Bunun amaci, firewall’da (network security) basitce kural yazabilmek. Genel kurallar IP bazli olmadigi icin, bilgisayarinizi farkli bir network’e aldiginizda ayni kurallarin gecerli olmasi icin, yeni network’un guvenilir veya guvenilir olmayan network olup olmadigini belirlemeniz yetiyor.
Herhangi bir uygulama internete veya bagli bulundugunuz ag uzerinde herhangi bir yere erismek istediginde, veya herhangi harici bir client, sisteminizde calisan bir sunucu yazilimina erismek istediginde, KPF size bu baglanti istegi ile ilgili ne yapmak istediginizi soruyor. Burada onaylama veya reddetme secenegi bulundugu gibi, bundan sonraki benzer istekler icin kural ekleme onay kutusu da bulunuyor. Bu sekilde eklediginiz kurallar, bulundugunuz network bazinda kisitlamaya tabi tutuluyor. Ornegin, “programin guvenilir ag uzerinde herhangi bir yere erismesine izin ver”, “programin guvenilir olmayan (untrusted, Or: internet) ag uzerinde herhangi bir yere erismesine izin ver”, “programa guvenilir agdan gelen baglanti isteklerine izin ver” gibi.
Bu kurallar disinda, uygulamanin sadece belirli protokol ve port’lara erisebilecegi sekilde gelismis kurallar olusturabiliyorsunuz. Size sordugu sirada kural olusturken “Create an advanced filter rule” diyerek kurali duzenlemeniz, veya konfigurasyon’da “network security” icerisinden “packet filter” kisminda bu kurallari tanimlayabilmeniz mumkun.
Ayrica kurallara log’lama veya alarm uretme secenekleri ekleyebiliyorsunuz.

Sistem Guvenligi
Sistem guvenligi olarak gecen kisimda, bir uygulamanin baslamasi, daha onceden bilinen bir uygulamanin degistirilmis olmasi (bilmediginiz bir sekilde degistirilmis olabilir) veya bir uygulamanin baska bir uygulamayi calistirip calistiramayacagi kontrol edilebiliniyor.
Genelde program kurarken “bu uygulama, baska bir uygulamayi calistiriyor” diyerek, fazla soru sormasina neden olsa da urunun bu ozelligi de hos.

IDS(Saldiri Tespit Sistemi) Modulu
Urunun IDS modulu, imza veritabaninda olan kotu trafikleri ve port tarama islemlerini tespit edip engelleyebiliyor. Bu durumlar gerceklestiginde bir alarm uretme seceneginin olmamasi hos degil. Urunun su an deneme yaptigim surumunde, sadece loglama secenegi bulunuyor.

Web Filtreleme Modulu
Web filtreleme tarafinda reklam, pop-up pencere, javascript, vbscript bloklama; cookie’ler ile ilgili filtrelemeler, ve kisisel bilgi bloklama secenekleri bulunuyor. Kisisel bilgiden kasit, sizin yazdiginiz herhangi ozel bir verinin, web uzerinden gonderilmesini engellemek.
Web erisimlerini transparan olarak inceliyor ve yaratilan politikaya gore degistiriyor. Urunun pop-up filtreleme ozelligini kullanmanizi onermem, zira ziyaret ettiginiz sayfalarin icerisine bir javascript kodu ekleyerek pop-up’lari bloklamaya calismasi pek mantikli degil. Bunu browser’in ozelligi ile halletmek bana daha mantikli geliyor.

Web erisimi konusunda, www.discogs.com sitesine gittigimde asagidaki gibi bir problemle karsilasiyorum ve Kerio’nun forumlarinda gordugum kadariyla bu sorunla tek karsilasan ben degilim.

Sorunu yasadigim siteyi istisna(exception) listesine herseye izin verecek sekilde koymama ragmen, yine ayni hatayi almaya devam ediyorum.
Kerio, yeni surumlerinde bu sorunu duzeltiyor olabilir.


______________

[1] ekran goruntusu Kerio web sitesinden alinmistir.

Bir Cisco switch’e bagli olan cihazin hangi port’tan bagli oldugunu bulmak

Bugun SPAN port yaratacagim bir Cisco Catalyst 3750 switch uzerinde bagli bulunan bir makinanin hangi porttan bagli oldugunu yerimden kalkmadan bulmak icin asagidaki yontemi izledim.

# ping IP_Address
komutu ile hem cihazin ulasilabilirligini test edip, hem de switch’in ARP tablosunda bulunmuyorsa eklenmesini sagladiktan sonra
# sh arp | inc IP_Address
Burada IP adresine sahip olan network kartinin MAC adresini gordum ve dogruladim. Artik yapmam gereken
# sh mac-address-table | inc MAC_Address
veya
# sh mac address-table | inc MAC_Address
komutlarindan birisi ile cihazin hangi switch port’undan bagli oldugunu gormekti

Mac Address Table, sirasi ile “Vlan, Mac Address, Type(STATIC/DYNAMIC), Ports” degerlerini veriyor.

W32/Agobot-SB, bir agobot macerasi

hafta basinda Trend Micro OfficeScan urununu kullanan bir musterimize virus bulastigi haberini aldim.
nvcom.exe adli dosyanin CPU’yu yogun kullandigini, officescan’i kapatmaya calistigini, ve sadece windows 2000’lere bulastigini ilettiler. 500’e yakin client’a yayildiginin bilgisini alinca dosyayi incelemeye basladim.

google dosya adi ile ilgili sifir sonuc dondurdu. dosyayi virustotal‘de taratmayi onerdim. yeni bir agobot varyanti oldugunu gorduk. virustotal’de goruldugu kadariyla bazi antivirus’ler tespit edebilmesine ragmen, virusun bahsettikleri varyanti ile ilgili sayfalarinda herhangi bir bilgi bulunmuyordu.

eski agobot’lari biraz inceledim. eger buyuk bir degisiklik yoksa, ve windowslarin patchleri geciliyse bu kadar client’a bulasmamasi gerekiyordu.
aksam arkadasimin yanina kontrol icin gittigimde virusu temizlemenin cok kolay oldugunu gordum. nvcom.exe islemini process explorer‘la sonlandirdiktan sonra, HKLM\Software\Microsoft\Windows\CurrentVersion\Run ve HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices registry kayitlarini temizlemek yeterli oluyor.
kendilerinin de bu sekilde yaptigini, ancak belirli bir sure sonra tekrar bulastigini ilettiler.

windows patchlerini, makinanin share’lerini ve kullanicilarini kontrol ettigimde lokal administrator sifresinin bos oldugunu farkettim! daha onceden uyarmamiza ragmen, herhangi bir degisiklik yapilmamis.
windows lokal administrator sifrelerini bos birakmamalarini, sadece yetkililerin bilecegi, cok karmasik olmayan bir seyle degistirmelerini onerdim. “bold123yazi” bile yapsalar, kendisini otomatik yaymaya calisan bir virus, veya bos administrator sifreli makinalari hedef alan kotu niyetli kisilerden korunacagini acikladim. belirli araliklarda da sifreleri degistirmelerini onerdim.

neredeyse tum antivirus yazilimlari virus’u tanimaya baslamasina ragmen, trend micro pek bi yavas kaldi. controlled pattern‘lerde bile virusu tanimiyordu. ha aklima gelmisken, heuristic tanima mi? arkadasimin dedigi gibi, pek gecerli degil…
trend micro’ya yardimci olayim dusuncesiyle sayfalarindaki submission wizard‘i kullanarak virus’u kendilerine gonderdim.

ilk basta bu sekilde case acabilmenin harika oldugunu dusunuyodum. gerci hala da boyle dusunuyorum, ama 9 mayis 2005’te dosyayi kendilerine gondermeme ragmen, hala herhangi bir kayit gorebilmis degilim!
case’deki gelismeleri su sekilde takip edebiliyorsunuz:

trend micro virus’u 10 mayis aksami tanimaya baslamasina ragmen, case ayni acildigi gibi beklemekte…

virusle ilgili bilgiye buradan ulasilabilir. isin ilginci, trend micro’nun sayfasinda problemin oldugu gun herhangi bir bilgi olmamasina ragmen, su an neden 7 mayis 2005 girisli bir bilgi gorebiliyorum? antivirus firmalari tarih oyunlari mi yapiyor, yoksa isin altinda baska bir sey mi var bilinmez. ama dusunduruyor insani.

makinalarin lokal administrator sifresini degistirmek icin google’da arastirinca hemen birden fazla yontem bulunabiliyor:
1) Real-World Scripting: Changing Passwords on Multiple Computers
2) How to Use the Cusrmgr.exe Tool to Change Administrator Account Password on Multiple Computers
3) Asagidaki komutla makinalara job eklenebilir:
at \\makina zaman cmd /c net user Administrator yeni_sifre

MAC adresi degistirme

SecurityFocus Linux Newsletter #234’a bakarken travesty diye bi tool gozume carpti. mac adresi degistirmeye yariyomus. yani yazacagim programa bi isim dusunsem, anca bunu bulurdum heralde(?)

ben bu isi bildigim yontemlerle yapmaya devam ediym.
# ifconfig [interface] hw ether [yeni MAC adresi]
olabilir mesela.

wikipedia’da da konuyla ilgili baya bi bilgi birikmis.

ben ugrasamam diyenler, linux’ta macchanger, windows’ta da macshift‘i kullanabilirler.

bu is bu kadar basitken, ozellikle wireless networklerde sadece MAC adresine gore kisitlama yapilmamasi gerektigi malum