İngiliz bilişim uzmanları internette Google arama motoru tekelini kıracak yeni bir arama motorunu geliştirdi.

İngiliz bilgisayar uzmanı Sthepen Wolfram tarafından geliştirilen ve sayısal bilgi altyapısına üzerine çalışan Wolfram Alfa arama motorunun özelliği her türlü soru tam olarak cevaplandırması.

Şimdiye kadar kullanılan arama motorlarında sadece metinde geçen terim ve sözcükler üzerinden arama yapıldığını hatırlatan Wolfram,  netice olarak şimdiye kadar sorgulanan metinleri görebilme imkânına sahip olduğumuzu söylüyor.

Alınan bilgilere göre sorunuza istenilen cevabı kesin olarak ekrana yansıtma özelliği bulunan yeni Wofram Alfa arama motorunun Mayıs ayında piyasaya çıkacağı bildirdi.

ilk etapta akla gelen yeni arama motoru ile güvenlik ilişkisi olmalıdır

Lütfen bu tarz linkleri tıklamdan once sondaki adresleri silip domaini kontrol edin once. Çunku size mesajı gönderen arkadaşınız bile olsa o mesaj gonderdiginden haberi bile olmayacaktır. Çunku o da sizin gibi kurban olmuştur. Virusguvenlik olarak site kapanana kadar konunun takipcisi olacagız.

Savunma Bakanlığı ağına girmesinden iki gün sonra Villacoublay Hava Üssü’ne ulaşan virüs sebebiyle savaş uçakları da kalkış yapamadı.

Virüsün varlığı 23 Ekim 2008 tarihinde yayınlanan Microsoft Güvenlik Bülteni ile kamuoyuna açıklanmış, problemin çözümü ortaya konmuş ancak Microsoft tarafından yapılan tüm haberlere rağmen ağ yöneticilerinin ve bilgi teknolojileri çalışanlarının uyarılara kulak asmadığı belirtilmişti.

VİRÜS NASIL YAYILIYOR?

Microsoft’un yayınladığı bültene göre solucan Windows içinde bulunan ses hizmetleri, sunucu yazılımları gibi arkaplan servislerinin çalışmasını saplayan “services.exe” isimli uygulamayı enfekte ederek, aslında Windows’un çalışması için gerekli olan bu uygulamanın bir parçası haline geliyor.

Services.exe’nin bir parçası haline gelen zararlı betik parçacığı, kendisini Windows’un sistem klasörü altına kopyalayarak, 5-8 karakterli bir “dll” dosyası olarak saklıyor. Windows’un uygulama ayarlarını tutan “Registry” (Kayıt kitaplığı) içinde bir düzenleme yapan uygulama, bu noktadan sonra kendini sistem için gerekli bir servis olarak tanımlayarak bilgisayar açık olduğu her an arkaplanda çalışmaya devam ediyor.

Solucan çalışmaya başladığı andan itibaren bir HTTP sunucusu (İnternet üzerinden tarayıcı vasıtasıyla ulaşabilen Web sunucu hizmeti) oluşturuyor, sistemin en son Geri Yükleme Noktasını (System Restore Point) silen virüs bu şekilde temizlenmesini daha güç hale getiriyor ve saldırganların sitesi üzerinden dosyalar yüklemeye başlıyor. Bu şekilde uzaktan bağlanan saldırganlar enfekte olan bilgisayarda kolaylıkla istedikleri işlemleri gerçekleştirebiliyorlar.

Birçok solucan, İnternet üzerinden bağlandıkları siteler sayesinde kolaylıkla ayırt edilebiliyor ancak, Conficker olarak anılan bu yeni solucan, tamamen rasgele isimlerle (mphtfrxs.net, imctaef.cc, ve hcweu.org gibi) oluşturulmuş yüzlerce alan adına bağlanan son derece sofistike bir algoritma kullandığı için rahatlıkla fark edilemiyor. Çünkü sayısıyla yüzlerle ifade edilen bu alan adlarından hangisinin saldırganın websitesi olduğu henüz çözülebilmiş değil. Solucanın hangi internet sitesinden zararlı betiği çekip çalıştırdığını anlamak neredeyse imkansız.

Solucan’ın nasıl çalıştığını anlamak amacıyla virüsü tersine mühendislik (reverse engineering) yöntemiyle analiz eden bilgisayar uzmanları henüz bir çözüm bulabilmiş değil ancak, en azından Downadup adı verilen varyantın kaç bilgisayar üzerinde çalıştığını biliyorlar.

“Onları görebiliyoruz ancak, temizleyemiyoruz” şeklinde konuşan F-Secure’un araştırmacılarından Toni Kovunen, rasgele oluşturulmuş alan adlarından birkaç tanesini ele geçirdiklerini ifade ederek, bu alan adlarına yüzbinlerce farklı IP adresi üzerinden istemcilerin bağlandığını söylüyor.

Microsoft’un yorumlarına göre, zararlı yazılım dünyanın farklı noktalarında bir çok bilgisayarı ele geçirmiş durumda. En çok hasarı ise Çin, Brezilya, Rusya ve Hindistan’da bulunuyor.

Yeni iWork09 trojan bunu bir kez daha gösteriyor.

Bu truva ve iWork09 ile ilgili bazı ilgi çekici bilgiler:
* Apple 6 Ocak’ta MacWorld09′da iWork09′u çıkardı. (Sürüm bir seri numarası gerektiriyor)
* 19 Ocak’ta Apple iWork09 için bir seri numarasına ihtiyaç olmadığına karar verdi.
* iWork09 trojan 21 Ocak’ta tespit edildi.

Mantıklı açıklaması ne olabilir? Apple seri numaraya ihtiyaç olmadığına karar verdi, bu da yasadışı torrent’lerde bir patlamaya yol açtı, ve kötü amaçlı kod yazarı da kendi truvasını paket içerisine ekleme fırsatı buldu.

Yanlış!

iWok09 torrentlerine bakarken, farklı bir zaman hattı farkettim.. Çoğu virüslü torrent’in tarihi yaklaşık olarak 7 Ocak. iWork09′un çıkışından tam bir gün sonra, ve kötü amaçlı dosya da bu teoriyi destekliyor:
-rwxr-xr-x  1 pedrobueno  staff  413568  7 Jan 22:22 iworkservices

Bu iWork09 truvasının diğer yeni popup açan Mac truvalarından farklı, oldukça iyi geliştirilmiş bir kod, ve kriptolanmış haberleşme kanalı ve p2p benzeri ağ stili kullanıyor.

Bu tip gelişmiş bir Mac virüsünün gerçek amacının ne olduğu daha tam açık değil, fakat zaman içerisinde detayları ortaya çıkacaktır.

Aşağıdaki komutlar bu kötü amaçlı yazılımı bilgisayarınızda olup olmadığını anlayabilmenizi ve sonrasında temizleyebilmenizi sağlayacaktır.

Truva ağı kullanıyormu
sudo lsof -i -P|grep -i tcp|grep -i iworkserv

Komutun çıktısı aşağıdaki gibi olacaktır:
iworkserv 5326     pedrobueno    9u  IPv4 0×7170270      0t0    TCP *:<port>

Truva hdd de bulunuyormu
sudo find / -iname “iworkservice*” -print

Komut çıktısı muhtemelen aşağıdaki gibi olacaktır:
.funnystuff/English.lproj/iWorkServices.info
.funnystuff/iworkservices
.funnystuff/iWorkServices.bom
.funnystuff/iWorkServices.pax.gz
.funnystuff/iWorkServices.sizes

Truvanın sisteminizde çalışıp çalışmadığının kontrolü
sudo ps aux |grep -i iworkservice |grep -v “grep”

Komut çıktısı aşağıdaki gibi olacaktır:
pedrobueno  5326   0.6  0,4   451036  15660 s002  S+    4:49     0:00.62 ./iworkservices

5325 = PID

Kötü amaçlı işlemi öldürmenin en hızlı yolu aşağıdaki gibi bir komut satırı kullanmaktır:
Sudo kill -9 PID (yukarıdaki örneğimizde PID 5326 idi)

Bu komut çalışan işlemi sonlandırır fakat dosya hala sistemde durmaktadır.

iworkservices dosyasını silmek daha sonra çalışmasını engelleyecektir.

Bunu yapmak için ikinci komut çıktısındaki klasöre gidin ce aşağıdaki komutları çalıştırın:
Sudo rm –rf iWorkservic*
Sudo rm –rf iworkservic*

DİKKAT: rm -rt komutu Unix sistemlerde çok güçlü bir komuttur, özellikle süper kullanıcı yetkileri ile, bu yüzden dikkatli kullanın. Yanlış kullanımından sorumlu değilim.

Bir sonraki adım da makinanızı tekrar başlatıp tekrar kontrol etmek olacaktır. Unutmayın, bu kötü amaçlı yazılım birden fazla yeteneğe sahip bir arka kapı niteliğinde ve kendisini güncelleyebildiği için yukarıdaki işlemler ilerde işe yaramayabilir.

Ve son olarak, Mac’iniz için bir AV düşünün.

Saldırıdan sorumlu gibi görünen bir blogger’a göre 400,000 den fazla kullanıcı hesabının (kullanıcı adı, eposta adresi ve hash şifreleri gibi) bilgileri ele geçirilmiş. Ayrıca aynı kişi yarattığı scriptle salt edilmemiş MD5 algoritması ile hash edilmiş olan 28,000 kullanıcı hesabının şifrelerini kırdığını söylüyor. Daha sonra bu şifreleri webde yayınlamış.

29 Ocakta söz konusu PHPlist açığı için güncelleme çıkarılmıştı. Kullanılan exploit 14 ocakta yayınlanmıştı.

http://www.theregister.co.uk/2009/02/04/phpbb_breach/
http://www.milw0rm.com/exploits/7778
http://www.phplist.com/?lid=274

Shiftdelete.net’in haberine göre dünyanın en yeni bağımsız ülkelerinden olan Karadağ’da devlet dairelerinde Facebook veya YouTube’a girmek isteyenlere hoş bir sürpriz var: Erişim Engellendi, yazısı. Karadağ’da gittikçe artan kullanıma oranla devlet dairelerinden de sık şekilde kullanılan YouTube ve Facebook, devlet görevlilerin mesai performanslarını engellemeye başlayınca, devlet eliyle, sadece devlet dairelerinde engellenmiş oldu.

Antivirüs programı neden işlemiyor diye düşünmeye de pek gerek yok , çünkü autorun dosyasını gördüğünde devreye giren Windows politikası , izin verilmiş gibi gösterilerek antivirüs programlarını atlatıyor çoğu zaman.Örneğin; Avast , Nod32 , Norton gibi antivirüs yazılımları uzun süre “amvo” isimli virüsü tespit edememişlerdi.Bu sebeplerden dolayı usb belleklerin otomatik çalışması engellemek en net çözüm.

Çözüme gelirsek;
Sıradaki işlemleri yapmadan önce her ihtimale karşın bir geri yükleme noktası oluşturmanızı tavsiye ederim.
“Başlat > Çalıştır” yolunu izleyerek çıkan komut penceresinde “regedit” yazıp , Windows Kayıt Defteri Düzenleyicisini açıyoruz.Soldaki menüler yardımı ile sırayla “HKEY_CURRENT > Software > Microsoft > Windows > CurrentVersion > Policies” yolunu izleyerek aşağıdaki pencereye ulaşıyoruz.

Öncelikle Policies anahtarına sağ tıkladıktan sonra yeni bir anahtar oluşturup adını “Explorer” yapıyoruz.Bu anahtar bilgisayar kullanımında alt klasör olarak gözükecektir.Daha sonra oluşturduğumuz “Explorer” anahtarına giriyoruz.Sağ taraftaki boş kısma yine sağ tıklayarak “Yeni > DWORD (32bit) Değeri” komutları ile oluşturacağımız değere “NoDriveTypeAutoRun” adını veriyoruz.Değer verisi olarak “95″ giriyoruz.

Bunun dışında usb belleklerinde otomatik çalışmasını engellemek için bir değer daha oluşturuyoruz.Yine aynı şekilde boş alana sağ tıklayarak “Yeni > DWORD (32bit) Değeri” komutları ile oluşturacağımız değere bu kez “NoFind” adını veriyoruz.Az önceki işlemi yine uygulayarak “NoFind” değer verisi olarak “1″ giriyoruz.

İşlemin yararlı olması için , işletim sisteminizi yeniden
başlatmanız gerekmektedir.Artık Usb virüsleri sorun olmayacak.

POS’lara yeni güvenlik önlemi

Kredi ve banka kartları ile alışverişlerde kullanılan POS cihazları artık, kaynağını veya bütünlüğünü onaylamadığı yazılımları işleme almadan silecek.

Ayrıca işleme tabi tutulmakta olan kartlara ilişkin hassas verilere yetkisiz fizikî veya elektronik erişim de engellenecek.

Bankacılık Düzenleme ve Denetleme Kurumu’nun ‘Banka Kartları ve Kredi Kartları Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmelik’ Resmî Gazete’nin dünü sayısında yayımlandı. Buna göre, üye işyeri anlaşması yapan kuruluşlar, kartlı ödeme işlemlerinde kullanılacak POS’un, asgari olarak ‘Ödeme Kartı Endüstrisi Güvenlik Standartları Konseyi’ tarafından yayımlanan POS PIN Giriş Cihazı Güvenlik Gereksinimleri standardının güncel versiyonunun gereklerini yerine getirecek. POS üzerindeki kriptografik anahtarlara ve bu anahtarları işleyen hassas fonksiyonlara erişim kimlik doğrulama kontrolleriyle sağlanacak