Ersin Akman

Virüsler ve VirüsçülerKişisel virüs tarihim o kadar zengin değil; şimdiye kadar sadece bir kere bilgisayarıma virüs bulaştı. O da 2000 yılındaki “I love you” virüsüydü. O zamanlar Bilgi Üniversitesi’nde çalışıyordum. Daha doğrusu yeni işe başlamıştım ve kullanacağım bilgisayar geleli sadece birkaç gün olmuştu. Bilgisayarda bazı istem dışı faaliyetler görür görmez sistem kablosunu çekip, bilgi işlemdeki arkadaşları durumdan haberdar etmiştim. Akşam eve geldiğimde atv’de Ali Kırca, “I love you” namussuzunun nelere kadir olduğunu anlatıyordu. Ertesi gün de hemen hemen tüm gazetelerde “I love you” ile ilgili bir haber vardı.Sonrasında hep korundum. Ve kendimce hep iyi korundum, ilkemi “korunmadan olmaz” olarak belirledim. Hatta bunu vakti zamanında derginin kapağına da yazdım Tabii bu arada hem virüs yazarlarıyla ilgili onlarca yazı okudum, hem de yüzlerce virüs kurbanının anılarını dinledim. Zaman içinde virüsler de, virüs yazarları da kendilerini geliştirdi; amaçlar da yöntemler de değişti. Eskiden sanki kendini kanıtlama çabası içinde olan virüs yazarları, zamanla küpü doldurma yarışına girdiler. Şu an MIT’de master yapan bir arkadaşım aracılığıyla tanıştığım bir grup üniversitelinin, basit bir pop up uygulaması sayesinde altı ayda bu işten 100 bin dolar kazandığını öğrendiğimde takvimler 2003 yılını gösteriyordu. 100 bin dolar şu anda olduğu gibi o zaman da temiz paraydı. Hele bu ülkenin üniversitelerinde okuyan bir grup genç için… Derken virüsle birlikte worm’lardan ve spy’lardan da bahseder hale geldik. Bazen virüslerin, anti virüs şirketleri tarafından internete salındığını düşünenler arasında yer aldım, bazense (genellikle büyük bir virüs ataktan kurtulduğumda) anti virüs üreten şirketleri kahraman ilan ettim. Ama ne olursa olsun virüs üretenlerin “sosyal mühendislik”teki başarılarını hep taktir ettim.Geçen gün de, çok uzun zamandan beri ilk kez “sosyal mühendislik” alanında takdirimi kazanan bir e-mail ile karşılaştım. Çünkü artık virüsçüler, genellikle sistemin en zayıf halkası olan genç ve bilgisiz MSN kullanıcılarını hedef alıyorlar. Bir animasyon vaat edip virütik yazılımı sisteme yüklemek ve ardından da o kullanıcı aracılığıyla tüm adres defterine bulaşmak en garantili yöntem.Neyse dedim ya geçen gün bir e-mail aldım. Konusu “I am wait your reply” olan bu mesajı “Marlene Dumas” bana göndermiş. Sizce de havalı bir kadın adı değil mi Marlene’in aşağıda okuyacağınız mesajı bence çok başarılı bir İngilizceyle, hiç de amatör olmayan biri tarafından yazılmış. Seçilen kelimeler, yapılan vurgu ve hayıflanmalar gerçekten çok inandırıcı.

To Whom It May Concern:

I am tired of receiving messages containing malicious computer programs (viruses) from your e-mail address!!!

If within 1-2 days you do not stop sending messages to my e-mail address, I will have to address this issue to the Police!…

Today I received a hard copy of your data logs from my Internet service provider. The copy contains your IP address, logs of sending malicious programs and your e-mail address details…

I am sending you the copy of the document containing your data and logs of sending malicious programs as the proof of your fault!!!!!!

You must print the document containing the list of your data and logs of sending malicious programs and pass it on to your Internet service provider with, so that they could find out why the viruses are sent from your computer to my e-mail address!!!!

Ask your Internet service provider to resolve this problem!!!!

Do this now!!! Once again!!! If you don t stop sending the letters, I will address to the Police and file a lawsuit against you!!!

Bu mesajı okurken bir ara ben bile iddia edildiği gibi bir mikrop kaynağı olabileceğimi düşündüm Ama bu mesajın ekindeki dosyanın üzerine AVG’yi salmadan önce bir kopyasını almayı da unutmadım. Sıcak kanlı bir kadın olduğu tahmin edilen ve benden acilen cevap bekleyen Marlene’in mesajına eklediği dosyayı dijital bir fanus içinde (şifreli ZIP) dostum Tansu “Doctus.org” Günay’a gönderip araştırmasını rica ettim. Burada Tansu’yu bilirkişi olarak değerlendirip, hemen ondan gelen cevabı sizlerle de paylaşmam lazım. Tansu’dan gelen mesaj tam olarak şöyle:

“Şimdi hocam bu düşük tehditli bir zararlı, trojan. Ama yüksek tehdit olma potansiyeli de var. Çünkü düşük olması yayılamamış olmasından kaynaklanıyor.

Tabii bir de Nod32 dışında hemen hemen tüm yazılımlar tarafından tespit edilmesinden.ZoneAlarm veya Outpost firewall kuruluysa bunları da atlatabiliyor.

İşletim sistemi, service pack ve sistemin dilini alıyor önce, kendini bir yığın kayıt defteri dizinine kaydediyor. WINLOGON.EXE SVCHOST.EXE sistem dosyalarını etkiliyor, enfekte ediyor yani kendini bunlara.Daha sonra hemen tüm çalışan işlemlere de aynısını yapmaya çalışıyor.

Silindiğine (kayıt defterinden) yeniden yazmaya kalkıyor kendini.Rootkit teknikleri var, bulaştıktan sonra kendini gizleyebiliyor bazı yazılımlardan.En son da network üzerinde yapacağın, göndereceğin, alacağın bilgileri çalıyor. Bankacılık tabi özellikle.Clipboard, klavye bilgilerine ulaşabiliyor, ekran görüntüsü alabiliyor.

Bazı keyword’leri aradığında seni etkileyebiliyor, bu tam net değil ama, örneğin garanti.com.tr yazdığında adres satırına, senin kendi sahte sitesine gönderebilir varsa…Tabii popülarite ve dış kaynaklı olduğu için muhtemelen Citibank falan yazarsan çalışacaktır.

Maildeki sosyal mühendislik teknikleri de belli zaten. Daha neler neler yapanlar var, bir bilsen. Adamın biri geçen gün “Milliyet Emlak Browser” diye bir tarayıcı yapmış; sözde emlak aramaya yarıyor. Tabi asıl işi bankacılık bilgilerini çalmak. Bir de indir.com bunu koymuş en tepeye süper program indirin diye Browser’ı internete yayan bir de programı yazan “Tansu Günay, sitesi de Doctus.org yazmış kayıtlarına…Tam şenlik ”

Tansu’nun yazdıklarını okuyunca korunma işini o kadar abartmışım ki insanların yapabilecekleri pervasızlıkların neler olabileceğini unutmuşum. Sen kalk bir browser yaz, adına Milliyet Emlak de, yazarını bu ülkede dijital güvenlik konusunda en çok emek harcayanlardan biri ilan et ve indir.com’dan bu tuzağı insanlara servis et. Sonra Milliyet de indir.com da bu işi görmemezlikten gelsin. Ceza olmayınca, suç da yoktur mantığıyla eylemlerine devam et. Ne de olsa açıktan kazanılacak çok fazla para var ortalıkta. Ama yine de aldığım e-mail ile Tansu’nun browser yazarını kıyasladığımda, bizim “browser guy” bence biraz sakil kalıyor. Millliyet’in ve Tansu’nun arkasına saklanıp, (muhtemelen) indir.com’un bir anlık ihmaliyle prim yapmaya çalışmak yine de bana yaratıcı gelmiyor. Eğer bu browser’ı yayan arkadaş, bir gün Marlene gibi bir karakter yaratıp, çok güzel kurulmuş cümlelerle insanları bildikleri yerden avlamaya çalışırsa listeye beni de eklesin. O zaman tam bir karşılaştırma yapmak isterim…