CASUS PROGRAMLAR (SPYWARE)
Internetin küresel bir özgürlük olmasını fırsat bilen
sanal korsanlar “Truva Atları” bölümünde detaylı
olarak anlatmaya çalıştığımız casus programların haricinde, sistemimizden bir
takım bilgiler almaya çalışmaktadırlar. Virüs programları bir kenara bırakıldığında,
en tehlikelileri “Truva Atı” diğer adıyla “Trojan” olarak bilinenlerdir. Bunlarla beraber “Internet
Explorer Açıklarının” tanıtıldığı “Çerezler” kısmında detaylı olarak bilgi
verdiğimiz, sistem bilgilerinin ziyaret edilen Web sayfalarınca çalınması
durumu vardır. Son olarak da, bu saydığımız her iki kısma ilaveten genellikle
Windows Kayıt Defteri (Registry) ile oynayıp
“Çerezler gibi” reklam amaçlı hareket eden Internet tarayıcı programının giriş
sayfasını değiştiren, Internete girildiğinde otomatik
olarak, çeşitli sitelere yönlendirilen sayfalar açılmasına yol açarak,
kullanıcıyı rahatsız eden programlar vardır. Bunların geneline biz “Spyware ” yani “Casus programlar” diyoruz. Bu programlarla
mücadele eden programlara da “Anti-Spyware” yani
“Karşı Casus Programları” ismini veriyoruz.
INTERNETTEN GELEN TRUVA ATLARI – “TROJANLAR”
“Truva Atları” dediğimiz efsanevi “Tahta At” değil
mi? Hatta geçtiğimiz günlerde “Brad
Pitt”in başrolünü oynadığı, ülkemizde de gösterime
giren “Truva” – “Troy” adlı
filmde de geçiyordu. Peki bu atların bilgisayar
sistemleriyle ne alakası olabilir?
Aslında geçmiş zamanlara ait bir efsane, ancak bu kadar Internet dünyasındaki
günlük yaşadığımız hayata örnek teşkil edecek bir kavram barındırabilir. Şimdi
efsaneyi anlatmadan kısaca bu güzel efsaneye konu olan “Tahta At” ile ilgili
bölüme gelelim. Bir ülke düşünün, rakip ülkeyi fethetmek istiyor, ancak yüksek
surlarla çevrili ve çok iyi korunan bu ülkeye, savaşarak girmeye gücü yetmiyor.
Derken bir fikir aklına geliyor! Tahtadan çok büyük bir “At” inşa ediliyor. Bu
atın içerisine de küçük bir askeri birlik yerleştiriyor. Daha sonra da savaşla
ele geçiremediği, çok iyi surlarla korunan ülkeye gidip bir anlamda savaşı
kaybettiklerinin göstergesi olan barış sembolü “Tahta Atı” şehrin surları
dibine bırakıyor. Ülke bir bakıyor düşman gitmiş, arkalarında “Tahta Atı”
bırakmışlar, alıyorlar surlardan içeri ve savaşı kazanmalarının şerefine büyük
bir eğlence tertip ediyorlar. Gecenin ilerleyen saatlerinde “Tahta At”
içerisine gizlenmiş bulunan rakip ülkenin askerleri yerlerinden çıkarak kalenin
surlarındaki kapıyı açıyorlar. Böylece içerden açılan bu kaplılardan giren
düşman ülke askerleri, ülkeyi fethediyor. Yani savaşla aşamadıkları surları,
ülkeye gönderdikleri “Tahta At” içerisindeki askerlerin açtığı kapıdan girerek,
kolayca geçmiş oluyorlar. Son olarak efsanevi tahta atın ismi, bu atın içeri
girmesini kabul eden “Truva” yani “Troy” şehrinden gelmektedir.
Bu efsanenin Internetteki karşılığı ise şu
şekildedir. Bir sistem düşünün, en güncel Antivirüs
programları, daima açık Firewalllar ile korunup, işletim sistemi ve
programların en son çıkan yama (Service Pack) ile
güncellendiğini var sayalım. Şimdi normalde böyle bir sisteme girilmesi pek
mümkün değildir. Ancak birisi “Truva Atı” kıvamında
bir bilgisayarı uzaktan yönetmeye yarayan küçük bir programı, bu bilgisayara
gönderse ve bu gelen programı alan kullanıcı bu programın üzerine tıklayıp
çalıştırsa, o çok güvenlikli bilinen sistemin hiçbir fonksiyonu kalmaz! Aynen Truva şehrinin surları gibi, sadece sıcak günlerde gölgelik
olarak kullanılabilir.
Şimdi küçük soru cevaplarla “Truva Atlarını”
yakından tanıyalım.
S.- Uzaktan yönetimi sağlayan programlar (Trojanlar
– Truva Atları) bir bilgisayara ne yapabilir ki ?
C. - Neler yapmaz ki? Bunun cevabı çok uzundur, onun için sadece “her şeyi”
demekle yetineceğiz.
S. - Peki bu tip bir “Truva Atı” sisteme nasıl
gelebilir?
C. - Bilgisayara erişim sağlayan her yolla! Yani, size gönderilen bir e-posta
mesajına ekli dosyada olabileceği gibi Internette
ziyaret ettiğimiz bir sayfada otomatik olarak çeşitli isimlerle bilgisayara
yüklenmek isteyen bir pencerede karşımıza çıkabilir. Hatta bir arkadaşımızın
“bak sana ne yükleyeceğim, gözlerine inanamayacaksın” dedikten sonra getirdiği
disket veya Cd içerisinde de olabilir. Şirketteki ağ
ortamında da paylaşıma açık bir dosyada bulunabilir. Sonuçta dosya kendi
kendisine dururken bir şey yapmaz. Ancak üzerine gelip çalıştırdığımızda
sistemimize yüklenir.
S. Bize gelen veya yüklediğimiz bir dosyanın Truva
atı olup olmadığını nasıl anlarız?
C. Aslında böyle bir dosyayı anlamaya çalışmak yerine “hiç almamak” daha emin
bir yöntemdir. Bu nedenle dosyanın uzantısı eğer “.exe,
.pif, scr, .com, .sys gibi ise” yani kendinden açılıp sisteme yüklenebilen
dosya kesinlikle kabul edilmemeli, görüldüğü yerde silinmelidir. Ancak bazı çok
eskiden beri kullanılan Truva atları artık pek çok
Firewall ve antivirüs tarafından tanınmaktadır. Bu
yüzden önceden indirdiğimiz bir dosya elimizdeki Truva
atı tarayıcıları yani “Anti – Spy” karşı casus
programları ile taranıp sistemimizden silinebilir.
S. Bu anlatılanlarla beraber, sistemimize önceden giren bir Truva
atını nasıl anlarız? Arkasında her hangi bir iz bırakır mı?
C. Aslında bu sorunun cevabı oldukça karışıktır. Şu şekilde, sizin sisteminize
eğer “Truva Atını” göndermişlerse ve sizde o programı
çalıştırmışsanız, ek bir müdahale yapılmadığı müddetçe bir anlamda sizin
bilgisayarınızın kaderi, o kişinin elinde diyebiliriz. Ancak sadece Internete bağlı olduğunuz sürece bu hüküm geçerlidir.
Yapabileceği her şey sadece siz Internete bağlıyken
gerçekleşebilir. Onun için eğer Internete bağlı iken Cd-Rom’unuz “kendiliğinden“ açılıp kapanmaya başlıyor,
fareniz çıldırmış gibi bir o yana bir buyana gidip sizin emriniz haricinde
hareket ediyor, sayfalar açıp duruyorsa hemen bilgisayarınıza bağlı Internetin kablosunu çıkarın deriz.
Ek olarak “Truva atları bir iz bırakır mı ?” sorusuna
şu şekilde karşılık verilebilir. Internete bağlı iken
bilgisayarımızdan Internet ağına doğru on binlerce kapı açılır demiştik bu
yazının başında. Bu kapılar çeşitli programlar tarafından standart olarak
kullanılır. Örneğin Internet Explorer Web tarayıcı programı daima 80 numaralı port yani kapı üzerinden Internete
çıkar. Bilgisayarımıza girmiş bulunan bir Truva Atı
da kendisi için tasarlanan bu kapılardan birini kullanır. Eğer sistemimizde bir
Firewall varsa bize bir uyarı mesajı gelecektir. Bu “Truva
Atı” önceden biliniyor ise Firewall kendisi zaten bizi uyarır, bilinmiyorsa
bize “şu program Internete erişmek için izin istiyor
izin vereyim mi ?”. anlamında bir mesajla bizden bilgi ister. Biz de ya olayı kendimiz anlar ve “hayır” deriz, yada “Evet”
diyerek gönderilen “Truva Atının” kurbanı oluruz. Bu
yüzden bilmediğimiz bir programın bizden habersiz Internete
erişmesine asla izin vermemeliyiz.
Şunu da belirtmek gerekir ki; Truva atlarını
sistemimizde araştıran programların kullandıkları bir diğer yöntem de, demin
ifade ettiğimiz “Port” yani kapılara bakmaktır. Eğer
herhangi bir kapıdan bir Truva Atı geçmiş ise ilgili
kapı “açılmış” demektir. Anti-spy programları bu
kapıları kontrol ederek “açık” var mı yok mu diye size bir rapor sunabilirler.
Dolayısıyla her bulunan açık bir “Truva Atının”
sisteminize misafir olduğunu gösterecektir.
S. Son olarak en yaygın “Truva Atı” programları
nelerdir?
C. Uzun zamandır “Truva atı” programları
bulunmaktadır ve bu mantık ile çalışan programlara her geçen gün yenileri
eklenmektedir. Ancak en bilinenlerden bir kaçının adını verebiliriz. Bunlar, BackOrifice (kısaca BO), Netbus
ve SubSeven programlarıdır.
CASUS PROGRAMLARA KARŞI ÇÖZÜMLER:
Normal olarak “Truva Atlarına” karşı pek çok Firewall
yeterli olmaktadır. Ancak “Firewalllar” diğer virüs benzeri casus programlara
karşı yetersiz kalmaktadırlar. Bu durumda bu küçük “Spyware
yada Adware”
1- SpyHunter (Resim: spyhunter_spy)
Bilgisayar sistemimize bulaşmış casus programları temizlemek için
kullanabileceğimiz bu programın deneme sürümünü dergimiz ile birlikte
verdiğimiz Cd içerisinde de bulabilirsiniz. 2.38 Mb. Gibi küçük bir dosya olarak gelen program, Windows
işletim sisteminin 98/Me/NT/2000/XP versiyonlarında
çalışmaktadır. Windows Kayıt Defterini, sistem klasörlerini ve hafızayı
tarayarak casus benzeri yazılımları bulup siler. Ancak deneme sürümünde program
sadece ilgili programları bilgisayarda aramakta fakat temizlememektedir.
Program kendisini kaldırma eklentisi ile birlikte gelmektedir.
2- Webroot Spy Sweeper (Resim:sweeper_spy)
Neredeyse bu yazıya sığdıramadığımız tüm casus programlara karşı özellikler barındıran
bu uygulama, 98’den Xp’ye kadar tüm Windows işletim
sistemleri ile uyumludur. Kendisini sistemden otomatik olarak kaldırabilen bu
program 3.43 Mb. Büyüklüğündedir. Deneme sürümü
içerisinde bir kez güncelleme yapabileceğiniz bu casus avcısı programı elde
etmenin maliyeti yaklaşık 30 $. Aynı zamanda sistem üzerinde arka planda
çalışan uygulamaları da görüntüleme özelliği bulunması ekstra bir üstünlük
kazanmasını sağlamaktadır. Sahip olduğu bu özellikler nedeniyle yurtdışındaki
BT çevrelerince ödüle de layık görülmüştür. Detaylı bilgiyi üretici firmanın http://www.webroot.com
adresinden öğrenebilirsiniz.
3- Ad-aware (Resim:Adaware_spy)
Windows 95 / 98 / Me / NT / 2000 / XP işletim
sistemlerinin tamamında çalışabilen bu program casus yazılımlara karşı son
derece etkilidir. Tamamen ücretsiz oluşu, diğer çok yetenekli ama ücretli olan
yazılımlara göre daha yaygın olarak kullanılmasını sağlar. Sistem dosyalarını,
Windows Kayıt Defterini, hafızayı tarayarak bilgisayar üzerindeki pek çok casus
yazılımın saklanabileceği noktaları araştırır. Ek olarak sabit disk üzerinde
kendi belirttiğiniz alanları da tarayabilen bu programdan memnun kalmazsanız,
kendini otomatik kaldırma özelliğini kullanabilirsiniz.
4- Bazooka Adware and Spyware Scanner
(Resim:Bazooka_spy)
Bilgisayarınızda hali hazırda faaliyette bulunan casus programları listeleyip,
Internet üzerinden kendi sitesine bağlanarak, işletim sisteminiz üzerinden
nasıl kaldırabileceğinizi anlatan bir yazılımdır. Diğer casus avcısı programlar
gibi sabit disk üzerinde kaydedilmiş programları bulup temizlemek üzere
çalışmaz, sadece aktif olanları görüntüler. Kazaa, Gator, Imesh, Morpheus
tarzı pek çok program sistem üzerinde aktif halde bulunur. Bu uygulama
aracılığıyla bu paylaşım programlarının sistemdeki yerlerini tespit edip,
verdiği online destek ile sistemden kendiniz
temizleyebilirsiniz.
5- Zero Spyware (Resim:Zero_spy)
15 günlük deneme sürümü ile gelen bu casus avcısı program Windows 98’den Xp işletim sistemine geniş bir kullanım imkanına sahiptir.
6 Mb. Varan boyutu ile kendi alanındaki programlar
arasında oldukça büyük bir dosya yapısı olduğu görülür. Diğer casus avcısı
programlardan farklı olarak her an sistemdeki hareketi takip ettiği görülür.
Ayrıca bir arama yapma ihtiyacı kalmadan, işletim sistemi üzerindeki casus
programlar, çerezler vs. görüntülenir ve detaylı bilgi verilerek silmek isteyip
istemediğimiz bize hatırlatılır. Internette gezerken
uğradığımız Web sayfası bilgilerini istersek bu program üzerinden de silebilir,
otomatik tamamlama ve şifre bilgilerinin Web tarayıcı programımız tarafından
kaydedilmemesini bu program aracılığıyla da gerçekleştirebiliriz.
© Bülent Kaçar 2005 www.bulentkacar.net