Truva Atı (Trojan Horse) Nedir?Nasıl Korunulur?
Truva atları, başkalarının bilgisayarınızı internet bağlantınız üzerinden denetlemesine olanak tanıyan kötü amaçlı yazılım programlarıdır. Kullanıcıların sistemlerindeki haklarını kullanabilen (program çalıştırma gibi fonksiyonları içeren), sistemi tehlike durumuna atabilen programlardır. Sistemdeki yasal bir kullanıcı tarafından kurulabildiği gibi başka programları ve güvenlik açıklarını kullanarak sisteme girebilen bilgisayar korsanları tarafından da kurulabilir. Truva atı, bir dolandırıcının bilgisayarınızdaki dosya ve işlevleri görmesine ve değiştirmesine, etkinliklerinizi izlemesine ve kaydetmesine, başka bilgisayarlara saldırmak için bilgisayarınızı kullanmasına olanak tanıyabilir. Ayrıca dolandırıcıların bu işlemleri sizin bilginiz olmadan gerçekleştirmesini sağlar.Truva atları, İnternet hızını yavaşlatır ve yerleştikleri sistemi kullanarak Web'in geri kalanına yayılabilirler.
Trojan (Truva atı); iki kısımdan oluşan ve bilgisayarları uzaktan kumanda etme amaçıyla yazılmış programlardır.Bu program sayesinde windows kullanmaya yeni baslayan bir insan bile bilgisayarınızda bir çok yetkiye sahip olabilir.(Bilgisayarınızı formatlamak,accountunuzu çalmak...vs ). Bu programların birinci kısmı uzaktaki bilgisayarı kontrol etmeye yararken diğer kısmı ise uzaktan yönetilecek bilgisayarla kontrol kısmı arasında bağlantı kurmasını sağlayacak açıklık yaratır.Yani bizim problemimiz trojan programının bilgisayarımızda acık port bırakan kısmıyla ilgilidir.Bir çok programcı, masum programlarına "Arka Kapı (Back Door)" tabir edilen kodlar ilave ederler. Kullanıcılar bunları bilmezler. Ancak gerektiğinde programcı tarafından kullanılırlar. Mesela şifre korumalı bir program satın aldığınızı düşünün. Program bir ara çalışmaz oldu ve teknik destek istediniz. Programcı sizin şifrenize ihtiyaç duymadan programını çalıştırabilmesi için programa bir parametre ile kendini tanıtır. Program, içerdiği rutin icabı, çalıştıranın kendi programcısı olduğunu anlar ve hata analiz prosedürünü çalıştırır. Böylece programcı hataları bulur, onarır ve programı çalışır hale getirir. Siz bu prosedürü bilmiyordunuz bile. Bu çok basit bir Arka Kapı. Elbetteki kötü niyetli değil, sadece uzman olmayan kişilerin ulaşmasını engellemek amacıyla yapılmış bir prosedür.
Delikler sadece yazılımlarda değil, bilgisayar entegrelerinde de olabilmektedir. Mesela bir zamanların en yaygın ev bilgisayarı olan Commodore 64'ün en alt ekran satırı haricinde normalde kimsenin ulaşamadığı bir satırının da olduğunu üreticileri bile bilmiyordu. Bir grup programcı, bilgisayar entegresindeki delikten faydalanarak bu satırı kullanmayı başardı.
İşte bazı hacker tabir edilen ve sistem hakkında son derece yüksek bilgiye sahip kişiler, Windowsun ağ bağlantılarındaki Arka Kapılarını ve eksiklerini (hole,delik) tesbit etmişler ve yukarıda anlattığımız Truva Atı programlarını ve Truva Atlarını uzaktan kontrol etmeye yarayan programları bu deliklere göre yazmışlardır.
Trojanların ilk çıkışı sanıldığı gibi kötü niyetli olmamıştır. 90'lı yılların başlarında, şirketlerde çalışan bazı kişiler, akşama işlerini bitiremediklerinde evde de bilgisayar başında çalışmaları gerekmiştir. Ancak tüm şirket bilgileri şirketlerdeki bilgisayarlarda kaldığı için o bilgilere devamlı ulaşmak istemişlerdir.
İşteki bilgisayarını eve taşıması yerine, evdeki bilgisayarından iş yerindeki bilgisayarına bağlanıp işlerini evden takip etmek istemişlerdir.
Bundan dolayı işteki bilgisayarında trojanın server'ını çalıştırıp, eve gidince de client'i ile bağlanmışlardır. Fakat sonraları, bu bilgisayarlara kaçak olarak başka kişilerin girmesiyle trojanlar bu günkü hallerini almışlardır. Geçmişte basit yapıda olan trojanlar, günümüzde gelişmiştir.
Bir yöntem de server'ı başka bir dosya ile birleştirmektir. Geçmişteki basit trojanlarla bu yapılamıyordu fakat günümüzde mümkün. Birleştireceğiniz dosyanın resim (jpg, gif, bmp), video (mpeg, avi) veya program dosyası (exe) olması da önemli değildir. Hangi dosya ile birleştirirseniz birleştirin, birleştirilmiş bir server’ın uzantısı exe olmalıdır. Yani bir trojan gif, avi, jpg vb. formatlarda olamaz. Bir jpg ile birleştirilmiş bir server'ı girmek istediğiniz bilgisayar çalıştırırsa, o sadece resmi görecektir ama arka planda trojanda çoktan bulaşmış olacaktır.
Trojan bulaşırken iki işlem gerçekleştirir:
1. Windows'un her açılışında otomatik olarak çalışacak şekilde kendini açılışa koyar.
Bunun için; win.ini, system.ini, autoexec.bat, config.sys veya regedit dosyalarından birine, kendini kayıt eder.
Trojanın bu özelliği sayesinde, karşı bilgisayara bir kere değil, o PC her online olduğunda girebilme şansınız vardır.
2. Kurban bilgisayarın bir portunu açmak.
İnternete girmek için kullandığınız Modem'lerin 65536 tane sanal portu vardır.
Modem gelen-giden byte�ların yerini karıştırmamak için bu portları kullanır.
Mesela explorer 80., ICQ 1029., FTP (Dosya transferi) 21. portu kullanır.
Siz de trojan kullanarak karşı bilgisayara girerken bir porttan girmeniz gerekli.
Bu portun hangisi olacağı trojana göre değişir.
Mesela netbus 1234., Blade runner ise 5401. portu kullanır.
Şimdiki trojanların çoğunda istediğiniz portu seçebiliyorsunuz.
Trojan bu iki işlemi de arka planda yapar ve saniye bile sürmez.
Türkler tarafından yapılmış trojanlar da vardır: Truva atı, Schoolbus, Thief ve Casus.
Trojanlar Windows ortamında çalıştıkları için; işletim sisteminizin Linux olması durumunda hiçbir tehlikeyle karşılaşmazsınız.
Truva Atının Etkileri
Kullanıcının yapabildiği her şey Truva atları aracılığıyla yapılabilir:
•Dosyalar silinebilir.
•Dosyalar bilgisayar korsanlarına gönderilebilir.
•Dosyalar üzerinde değişiklik yapılabilir.
•Kullanıcının hakları kullanılarak, ağa sistem tarafından denetimsiz (kullanıcı adı ve şifre sorulmadan) girilme imkanı veren programlar kurulup çalıştırılabilir.
•Saldıran kullanıcının saldırılan sistem üzerindeki yetki seviyesi yükseltilebilir.
•Virus programları kurulabilir.
•Başka Truva atları kurulabilir.
Kullanıcı sistemdeki sistem yöneticisi haklarını kullanabiliyorsa Truva atları da sistem yöneticisinin yapabildiği her şeyi yapar. Bu Unix'teki "root", Microsoft Windows NT'deki sistem yöneticisi hesapları ya da herhangi bir işletim sistemindeki yönetici haklarını kullanabilen herhangi bir kullanıcı olabilir. Sıralanan hesaplardan biri ya da tek kullanıcılı işletim sistemi (Windows95, MacOS) kullanılıyorsa Truva atları yardımı ile saldırı gerçekleştirilebilir.
Kullanıcının ağında Truva atlarını içeren herhangi bir sistem, ağdaki başka sistemleri de etkileyebilir. Paylaştırılmış ağlarda şifre gibi bilgileri basit şifrelenmiş ya da şifrelenmemiş şekilde gönderen sistemlerin güvenliği de azalmaktadır. Kullanıcının sistemi ya da ağı Truva atlarını içeriyor ise bilgisayar korsanları ağ yoklayıcısını çalıştırıp bilgisayardaki -kullanıcı adı ve şifreler dahil- özel bilgileri kaydedebilir.
Truva Atının Kurulması
Genelde yasadışı yazılımlara veya internet'ten yükleyebileceğiniz diğer dosya ve programlara gizlenmiş olarak gelir. E-postalarda veya anlık iletilerde komik resimler, tebrik kartları veya ses ve video dosyalarıymış gibi de görünebilirler. Ekleri tıklatarak açarsanız, bir truva atı gizlice karşıdan yüklenebilir. Bazı durumlarda, hiçbir işlem yapmasanız datruva atı, yazılımlardaki veya internet'teki güvenlik açıklarından yararlanarak bilgisayarınıza bulaşabilir.
Truva atları kullanıcılar yanıltılarak kurulabilir. Örneğin: Bilgisayar oyunlarını içeren herhangi bir e-posta ile de truva atları gönderilebilir. Kullanıcı oyunun tanıtımından etkilenerek oyunu bilgisayarına kurabilir. Kullanıcı gerçekten bir oyun kurmasına rağmen arka planda kolay fark edilemeyen bir işlem çalışmaya başlar. Başka bir örnek ise, Web güvenliği üzerinde araştırmalar yapan şirketlerin dağıttığı bültenlerin sahtelerinin yapılıp, bültenlerle birlikte gelen yamaların sistem yöneticilerine kurdurulmasıdır.
Yazılım dağıtan sitelerde bilgisayar korsanı tarafından Truva atları ile değiştirilmiş yazılımlar olabilir. Truva atları içeren bir dağıtım sitesi başka dağıtım sitelerinin yansıtıcılarını içeriyor ise Truva atları birçok site tarafından çekilir ve İnternet'in her yerine hızlı bir şekilde yayılır. DNS (Domain Name Server - Alan Adı Sistemi) güçlü bir kullanıcı denetlemesi (authentication) sağlamadığı için, kullanıcılar farklı bir Web sitesine bağlanmak istediği zaman bilgisayar korsanları bağlantının arasına girip kullanıcıya hala güvenli bir bağlantı içinde olduğunu hissettirir. Bundan yararlanarak bilgisayar korsanı, kullanıcılara Truva atlarını karşıdan yükletebilir ya da özel bilgileri açığa çıkartabilir.
Truva atı sistemde hatayı oluşturduktan sonra bilgisayar korsanları, sistem yardımcısı programların Truva atı içeren versiyonlarını kurabilir.
Bazen Truva atı koleksiyonları bilgisayar korsanları tarafından kırılmış olan araç takımlarında da yer alabilir. Bilgisayar korsanlarının bir kere sistemdeki yönetici haklarını elde ettikten sonra sistemin güvenli hale getirilmesi için baştan kurulması gerekmektedir.
Son olarak, Truva atları Java applet, ActiveX control, JavaScript formlarında da bulunabilirler.
Trojan Neler Yapabilir?
Bilgisayarınızın Internet bağlantınız üzerinden uzaktan denetlenmesine olanak tanır. Dolandırıcılar bu beceriyi kullanarak şunları yapabilir:
•Sizi dolandırıcılık suçlarıyla yüz yüze bırakabilir. Bazı truva atı programları, bilgisayarınızın sahte bir web sitesinin gerçekte güvendiğiniz bir web sitesi (çevrimiçi bir banka sitesi gibi) olduğunu düşünmesine neden olabilir. Sahte siteye girdiğiniz parolalar ve diğer bilgiler, paranızı veya kimliğinizi çalmak için kullanılabilir.
•Dosyalarınızı bulabilir ve onları görüntüleyebilir, kopyalayabilir, değiştirebilir veya silebilir. Truva atları, bunu bir kereliğine veya bilgisayarınızı her başlattığınızda bu görevleri gerçekleştirebilecek biçimde programlanabilir.
•Yazdıklarınızı kaydedebilir ve bu bilgileri başka bir bilgisayara gönderebilir. Dolandırıcılar bu bilgileri özel yazılımlar aracılığıyla işleyerek, bilgisayarınızda yazdığınız kullanıcı adlarını ve parolaları bulmaya çalışır.
•Bilgisayarınıza bağladığınız aygıtlardan video ve ses öğeleri yakalayabilir, bu medyayı dosya olarak kaydedebilir ve daha sonra da dolandırıcıların bilgisayarına gönderebilir.
•Bilgisayarınızdaki bir programı, işlemi veya bağlantıyı çalıştırabilir veya sonlandırabilir.
•Ekranda can sıkıcı veya kötü amaçlı web sitelerine bağlanmaya ikna etmeye çalışan açılır pencereler oluşturabilir.
•Diğer bilgisayarlara saldırabilir. Bazı truva atları, dolandırıcıların gönderdikleri iletilerle sunucuda yük oluşturma veya virüs ve casus yazılımları yayma gibi görevleri gerçekleştirmek için denetim altında tuttukları çok sayıda bilgisayar olan "hortlak ordular" oluşturmak amacıyla kullanılır.
Trojan Yayma ve Bulaştırma Yöntemleri
1. Chat : Dünyada bilgisayar kullanıcıların internet ile ilk tanışmalarından bu yana her işte ve her şekilde kullanılan Chat ortamı. kandırarak her şekilde bilgisayarlarına girerler ve hakim olurlar. Ondan sonra kurban olarak kullanır ve istediklerini yaparlar. Bir zamanların en ünlü Trojan yayma yolu IRC Server, Komut ve mıRC Programları, IRC Scriptleri olmuştur.
2. P2P : Son zamanlarda en çok Trojan yazarlarinin başvurduğu ve trojanlarini yaymaya çalıştıkları ortamdir. Popüler yazılım isimleri ile özelliklede yeni kullanıcılara bu tür ortamlardan virüsler ve trojanlar atılmaktadır.
Örneğin : Firefox.exe gibi.
3. Mesaj Yollama/Mesajlaşma Yöntemi : Anlık ileti gönderilmesine olanak veren ve son yılların gözde sohbet programlarindan olan AOL ve MSN Messenger gibi ortamlarda Trojanlar için harika bir ortamdır. Msn Messenger gibi dev bir ortama trojan yaymak demek herşeyi yapabilmek ve binlerce kişi kendine bağlamak, kurban etmek demektir.
4. Web Sitesi Yoluyla Bulaştırma : Çeşitli Warez program siteleri ve Program *****/****** sitelerinin içine program ve ya ****** gibi dosyalar göndererek, Trojan yaymakta oldukca kullanılan bir yöntemdir.
5. Yazılım Güvenlik Açıkları : Bu kategori ise, ünlü MyDoom virüsü gibi bilgisayarlarda bulunan ünlü programlarin hatalarindan ve ya açıklarından yararlanarak yayılan ve sisteme zarar veren bir Trojan yayma yöntemidir.
6. Sosyal Mühendislik : Sosyal Mühendislik aslında çok eski ve geniş bir kavramdır. Bu kavram son seneler de sıkça gündeme gelmektedir. Çünkü güvenlik, saldırılara paralel olarak gelişmektedir. Sosyal mühendislik olayinda ise asla ama asla tamamen bir saldırı söz konusu değildir. Hedef yani kurban sosyal mesajlar ile söz ile yada dil ile kandırılır ve aldatılır.