1. * 5651 Sayılı Kanun'a göre TÜM ÜYELERİMİZ yaptıkları paylaşımlardan sorumludur.
    * Telif hakkına konu olan eserlerin yasal olmayan şekilde paylaşıldığını ve yasal haklarının çiğnendiğini düşünen hak sahiplerinin İLETİŞİM bölümünden bize ulaşmaları durumunda ilgili şikayet incelenip gereği 1 (bir) hafta içinde gereği yapılacaktır.
    E-posta adresimiz

USB Disklerde AutoRun ile Gelen Tehlike

Konusu 'Yazılım / Donanım / İşletim Sistemleri' forumundadır ve YoRuMSuZ tarafından 21 Aralık 2010 başlatılmıştır.

  1. YoRuMSuZ
    Avare

    YoRuMSuZ Biz işimize bakalım!

    Katılım:
    7 Haziran 2006
    Mesajlar:
    24.427
    Beğenileri:
    7.354
    Ödül Puanları:
    11.330
    Cinsiyet:
    Bay
    Banka:
    8.771 ÇTL
    USB flash diskler yüksek veri kapasiteleri, boyutları, taşınabilirlikleri ve farklı sistemlerde sorunsuzca çalışabilmeleri ile cüzdan, cep telefonu ve anahtarlarımızdan sonra yanımızdan hiçbir zaman ayırmadığımız temel ihtiyaçlarımızdan oldular. Hemen hemen her sistemde çalıştırılabiliyor olmaları nedeniyle de bilgisayarlar arası veri alışverişimizi USB diskler yardımıyla yapar olduk.

    Hal böyle olunca eğer çok titiz değilsek, usb disklerimizi onlarca farklı bilgisayarda kulanıyor, yine bilgisayarımıza onlarca farklı diskin takılmasına izin veriyoruz. Aslında USB diskleri tehlikeli kılan da bu çok da denetimli olmayan taşınabilirlikleri. Taşınabilir medya üzerinden bilgisayara giren zararlı yazılımlar başta bilgi sızdırma, uzaktan komut koşturma ve servis dışı bırakma (DoS) olmak üzere birçok güvenlik zaafiyetine neden olabilmekteler.

    Öte yandan bu zararlı yazılımların USB diskten çalışarak sisteminize zarar vermesi için bu yazılımların kullanıcı tarafından çalıştırılması gerekir. Aksi takdirde zaten kötü niyetli yazılım diskin üzerinde kalacak ve sisteme zarar vermeyecektir. Tâ ki işletim sisteminin sisteme bağlanan bir medya için AutoRun özelliği varsa durum tehlikeli bir hâl alıyor.

    Autorun.inf Manipülasyonu
    AutoRun işlevi, işletim sisteminin taşınabilir bir medya (CD-ROM, DVD-ROM, flash disk vb.) bağlandığında tanımlı aksiyonları doğrudan alabilme yeteneğidir[Linkleri görebilmek için ÜYE olmalısınız!..] Microsoft Windows işletim sisteminden tanıdığımız bu özellik farklı işletim sistemlerinde de mevcut. İşte bu özellik sayesinde takılan bir USB disk zararlı yazılımın kendisi haline gelebiliyor.

    Medyanın kök dizininde bulunan Autorun.inf dosyası işletim sistemi tarafından bağlantı yapıldığı anda okunmakta ve içerisinde belirtilen komut seti sorgusuz sualsiz çalıştırılmaktadır. Bir örnekle AutoRun özelliği aktif bir bilgisayarda senaryoyu gerçekleyelim:

    Sisteme bağlayacağımız USB diskimiz Windows Explorer ile araştırılınca boş ya da zararlı bir yazılım içermiyor görünebilir. Ancak aynı diski komut satırından araştırırsak sistem dosyası olarak saklanmış bir Autorun.inf dosyası taşıdığını görürüz:

    [​IMG]
    Komut satırından sistem dosyalarının araştırılması​

    İşte bu diski sisteme bağladığımız anda eğer sistemimizin AutoRun özelliği aktif ise Autorun.inf dosyasının içinde saklı komutlar kullanıcıya sorulmaksızın işletilmektedir. Örneğimizde C: partition için FORMAT komutu çalıştırılmaktadır!

    [​IMG]
    Zararlı Autorun.inf dosyası içeren USB diskin neden olabileceği bir disk biçimlendirme tehditi

    Bu küçük örnekle Autorun işlevinin ne denli ciddi zararlar verebileceğini gördük. Aynı şekilde Autorun.inf dosyası manipüle edilerek İnternet'teki bir istemciye bilgisayardaki verileri kaçırılabilir, gelişigüzel kod koşturulabilir ya da serviş dışı bırakma (DoS) gibi ciddi zararlar verilebilir.

    Yakın zamanlarda, AutoRun işlevi manipüle edilerek oluşturulmuş bir bilgi sızdırma açıklığı tespit edilmişti. Makinaya bağlanmış olan bir zararlı USB disk, makinanın öntanımlı bir İnternet kaynağına bilgi göndermesini tetikliyordu. Eğer makine İnternet'e bağlı değilse, kaçırılacak bilgi USB bellek üzerinde tutuluyor, diskin İnternet bağlantılı bir bilgisayara bağlanması halinde toplanmış tüm bilgi İnternet kaynağına iletiliyordu.

    Şimdi de sorunun temelini teşkil eden Autorun.inf dosyasına bir göz atalım:

    [​IMG]
    Manipüle edilmiş zararlı Autorun.inf dosyasının içeriği

    Text tabanlı Autorun.inf dosyasının olmazsa olmaz parametreleri ShellExecute ve UseAutoPlay dir. ShellExecute otomatik olarak çalıştırılacak komutun işaret edildiği yerdir. Burada “format c” komutunu örnek gösterdik. Aynı şekilde herhangi bir .exe uzantılı dosya çalıştırılabilir yahut sistem komutları işletilebilirdi. UseAutoPlay parametresi de AutoPlay işleminin yapılıp yapılmayacağını belirttiği için gereklidir.

    Tehlikenin işleyişini ve neden olan yapıyı anlattıktan sonra bu tehditten nasıl korunabileceğimiz konusunda fikir yürütelim.

    AutoRun İşlevinin Etkisiz Hale Getirilmesi
    Bu tür bir tehdite yönelik alınabilecek ve hatta alınması elzem olan birkaç aksiyon vardır. Fakat bu önlemlerin belki de başlıcası işletim sisteminin AutoRun özelliğinin tüm diskler için etkisiz/disable hale getirilmesidir.

    Microsoft Windows işletim sisteminde bu işlemi “Local Computer Policy” ekranından yapıyoruz. (erişmek için Run -> gpedit.msc)

    [​IMG]
    Windows için Group Policy ayarları ekranı

    Local Computer Policy -> Computer Configuration -> Administrative Templates -> System seçilir. Sağ panelde çıkan ayarlarda Turn Off AutoPlay seçeneği etkinleştirilir.

    [​IMG]
    Windows'ta Autoplay seçeneğinin politika olarak etkisiz hale gitirilmesi

    USB Disk Üzerindeki Zararlı Yazılım ve AutoRun.inf Dosyalarının Silinmesi
    Yazının başında belirtildiği gibi zararlı yazılım barındıran USB diskin içeriğine explorer ile bakıldığında bu dosyaları göremeyiz. Aynı şekilde komut satırından da diskin içindeki dosyalar listelendiğinde bu dosyaları görmemiz mümkün olmaz. Çünkü bu gibi bir zararlı yazılımı yayanlar, dosyaları sistem dosyası olarak diske yazarlar. Microsoft Windows için “attrib” komutu ile diskin içeriği listelenirse sistem dosyası kılığına girmiş bu zararlı dosyalar görülebilir.Bu dosyayı silmek için öncelikle dosya nitelikleri attrib komutu ile değiştirilir:

    [​IMG]
    "attrib" komutuyla dosya özelliklerinin değiştirilmesi

    Kod:
      Kodları görebilmek için ÜYE omalısınız !
    Bu değişiklik yapıldıktan sonra dosyalar kolaylıkla silinebilir.

    Alınacak Diğer Tedbirler
    • Antivirüs yazılımları ve zararlılara karşı yazılımlar mutlaka kullanılmalıdır. Unutulmamalıdır ki USB diskin içindeki zararlı yazılımlar AutoRun özelliği aktif olsun olmasın tehlike arz eder ve temizlenmesi gerekir.
    • AutoRun etkisiz hale getirildiği gibi AutoPlay özelliğini kullanmaktan da kaçınmalıdır.
    • USB diskin takıldığı portlara—eğer çok zor durumda kalınırsa—kısıtlama getirilebilir. Çok tercih edilmemekle birlikte bazı önemli makinalarda kullanılmak durumunda kalınmaktadır. Windows işletim sistemi için aşağıdaki linkten detaylı bilgi alınabilir:
    [Linkleri görebilmek için ÜYE olmalısınız!..]

    Kaynaklar:
    • [Linkleri görebilmek için ÜYE olmalısınız!..]
    • [Linkleri görebilmek için ÜYE olmalısınız!..]
    • [Linkleri görebilmek için ÜYE olmalısınız!..]
    • [Linkleri görebilmek için ÜYE olmalısınız!..]
     
  2. jeriko

    jeriko Özel Üye Özel üye

    Katılım:
    4 Kasım 2008
    Mesajlar:
    5.268
    Beğenileri:
    49
    Ödül Puanları:
    4.480
    Meslek:
    657
    Yer:
    Anadolu (bu kadar ayrıntı iyi)
    Banka:
    314 ÇTL
    Bu sorunu işyerinde neredeyse hepimiz yaşıyoruz ve müzdaribiz.Bu teferruattlı açıklama için teşekkürler.
     
  3. Apancene

    Apancene Aktif

    Katılım:
    12 Şubat 2010
    Mesajlar:
    404
    Beğenileri:
    9
    Ödül Puanları:
    630
    Banka:
    2 ÇTL
    Kesinlikle Jerikoya katılıyorum süpper bilgilendirme , paylaşım emeğine sağlık..
     

Sayfayı Paylaş