Bu Blogda Ara

14 Temmuz 2007 Cumartesi

Güvenlik, 2.Round: XP'deki güvenlik açıkları

Bu yazıya epey zaman önce başlamam gerekiyordu, ama olsun vista yı güzelce inceledim ve eğer bir aksilik çıkmazsa vista ile ilgili güvenlik, ipuçları, ince ayarlar hakkında yazımı da bu ay okuyabileceksiniz.


Xp ile ilgili ne güvenlik açığı var? Nasıl kurtulacağız? Cevap: 42 :D (otostopçunun galaksi rehberini okudunuz mu?)


İlk olarak, XP deki ilk çıkan güvenlik açıklarından söz etmek istiyorum. UPNP açığı. Upnp, uyumlu cihazların(mesela routerların,acces pointlerin) yönetimine izin veren iletişim protokolüdür.(daha ayrıntılı bilgi için Wiki'leyin) Sorun ise, saldırganın bu açığı kullanarak hedef routerları yönetmesi, bağlı bilgisayarda istediği portları açması, admin şifresine ihtiyaç bile duymadan uzaktan yönetimi elde etmesiydi. Endişelenmeyin, açık kapandı. İkinci hata ise, RPC açığı. Uzak prosedür çağrısı olarak çevrilen bu açıkta ise, internetten sürünerek (crawling yaparak-evet Türkçe çevrimler garip) gelen Blaster adındaki solucan, bilgisayarınızı 50 saniye içinde kapatıyordu. Bu sorun güncellemelerle (ve antivirüslerle) aşıldı. Üçüncü ve en komik açık ise, sürücü köküne (C:-C$ olarak) admin şifresi/paylaşım şifresi sorulmadan tam yetki ile ulaşılması idi. Bu açık da güncellemelerle kapandı... Hep dediğim gibi, güncellemeler önemlidir !


Ama hepsi bu kadarla kalmadı. Microsoft, Xp ile sisteme Alexa yı entegre etti... Alexa, gezdiğiniz web sitelerini kaydeden ve bunu microsoft a bildiren bir sistemdir. 'Açıklamaya göre'; Alexa internetin reytinglerini ölçmek için kullanılıyormuş... Ya ,evet tabii... Bana sorarsanız bu düpedüz bir spyware dir ve microsft un bunu entegre etmesi, kişisel haklara saygısızlıktır. Bu örnekler sadece giriş kısmıydı. Şimdi bütün açıklara ve çözüm yollarına bakalım..


Açıklar ile ilgili kolayca bulabileceğiniz 9 program var. XP-Antispy , XPY, CMIA Security & Privacy, EVID4226 patch(evet bu da saylır bence), Harden-it, Secure-it, Prefetch-Clean-And-Control, SafeXp, Tuneup SystemControl...


Xp-Antispy, Xpy, Safexp ve CMIA Security & Privacy aynı sayılır fakat CMIA Security & Privacy' ı tavsiye ederim.


CMIA Security & Privacy:


http://cmia.sf.net adresinden indirilebilir. Tamamen bedavadır. Düzenli olarak güncellenir, 3.1.7 veriyonunu anlatıyorum. (daha yeni sürümleri muhtemelen daha fazla ayar içerir) Vereceğim ayarlar geneldir, muhtemelen size uyar.-Ama dikkat sadece işaretlemeniz gerekenleri anlatacağım.


System kısmı


*Disable administrative shares= bu ayar, sisteminizdeki gizli paylaşımları IPC$, C$ kapatır. Geçmişte bununla ilgili bir gaçık olduğundan kapatın.


*Disable autorun of all drives: Bu sisteminizdeki cd/dvd/usb disk vs otomatik açılmasını önler. Bu ayar sayesinde usb disklerde oldukça popüler olan Bittorent.exe virüsünden de etkilenmezsiniz. Karar sizin.


*Disable Paging from executables(executives yazıyor programda-yanlış yazmışlar): Windows kullanabileceği rami ayarlamak için ara sıra hafızanın bir kısmını pagefile.sys'ye atar. Bu ayar, çalışan dosyaların (exe,com,dll,ocx) hard disk e atılmasını önler, sistemin hızını arttırır.


*Disable shared files= Dosya paylaşımını değil, Shared Files klasörünü kaldırır.


*Disable video preview: Film dosyalarını küçük resim olarak görmek için. Sistemi yavaşlattığı ve gereksiz olduğu için iptal edin.


*Disable windows script host: Eğer vbs dosyalarını kullanmıyorsanız iptal edin, güvenlik için risklidir.


*Disable windows ZIP function: Xp ile bütünleşik olan zip desteğini kaldırmak için. Bir ara zip dosyaları ile ilgili güvenlik açığı vardı, ama zaten winrar kullanıyorsanız sorun yok demektir.


Internet Explorer 6 (MSIE 7 bile kullansanız sorun değil)


*Disable ITS protocol handler: Kullanılmayan, gereksiz, güvensiz bir protokol. kaldırın..


*Dont check for updates: MSIE6 güncelleme denetlemesi yapar,Windows update kullanıyorsanız gereksiz. kaldırın


*Delete spyware alexa: yukarda açıklaması var. Kaldırın.


Windows Media Player


*Disable automatic auto download: bu kullanılarak codec görünümlü virüs sisteme yerleşebilir. iptal edin.


*Disable GUID: iptal edin. Bu da alexa benzeri bir şey.


*Dont execute html scripts with media files: media player ın çalıştırdığı dosyalar ile ilşkilendirilmiş script leri engeller.


*Disable automatic license aquisition: Drm korumalı dosyalar için. Gereksiz, kaldırın.


*Disable media library: Media library çook Gereksiz..


*Disable sending usage-reports: Media player'ın kullanıcı bilgilerini,istatistikleri microsoft a bildirir. Kaldırın.


Security Settings:


*Disable Dcom: Sadece bazı eski programlar dcom a ihtiyaç duyarlar. Bence iptal edin ama sorun yaşarsanız, tekrar aktif hale getirebilirsiniz.


*Disable Epmap: 135 nolu portu kullanan exchange serverları tarafından kullanılır (örn: outlook) eğer exchange server üzerinden outlook ile maillerinize bakmıyorsanız kaldırın. sorun yaşarsanız ne yapacağınızı biliyorsunuz...


*Disable storage of credentials and .net passwords: Xp, .Net passportunuzu (örn: hotmail, msn) windows kullanıcı hesabınız ile ilişkilendirir,arada bağ kurar,şifrelerinizi lokal olarak saklar.. Güvenlik için Bunu iptal edin.


*Disable LMhash: Kullanıcı şifrelerinizi win 98/85 uyumlu hale getirip basitleştirir. Diğer bir deyişle: kırılması kolaylaşır. İptal edin.


*Disable Null session: IPC$ açığı kullanılarak sisteminiz hakkında bilgi toplanabilir. İptal edin.


*Disable remote desktop: Uzak masaüstü bağlantısı kullanmıyorsanız, bu bir güvenlik açığıdır. iptal edin.


*Set read-only for hosts file: Hosts dosyasına müdahale etmeyi zorlaştırır. Hackerlar, truvalar,spywarelere karşı bir derece güvenlik sağlar. İşaretleyin.


*Disable Server Message Block: Dosya paylaşmıyorsanız iptal edin. 445 nolu portu kapatır.


Services:


*Disable workstation service: Ağ üzerinde değilseniz, yada evinizde birden fazla bilgisayar yoksa güvenle iptal edebilirsiniz.


*Disable messenger service: Bu servis, msn ile ilgili değildir. Network üzerinden net send yoluyla mesaj göndermeye yarar. Kısaca, iptal edin.


*Disable dhcp client: Dhcp'den otomatik adres alınmasıyla ilgili servistir. Bilgisayarınızın ipsini manuel giriyorsanız iptal edin.


*Set spooler service to manual: Ağ yazıcıları için 1028 portunu kapatır ve sıralama hizmetini manual(el ile) başlayacak şekilde ayarlar. Bu sayede yazıcınız olsa bile bu servis ihtiyaç duyulduğunda çalışacaktır.


*Disable Error-Reporting service: Microsoft a hata raporu göndermeyi sevmeyenler için :)


*Disable IP-SEC service: İpsec'i kapatmak için. Eğer ev bilgisayarı kullanıyorsanız kapatın. Şirketinizde ipsec kullanmıyorsanız kapatın. kapatın kapatın kapatın


*Disable netbios service: artık geçerliliği kalmamış bir servistir. kapatın.


*Disable Remote registry: uzaktan registry e ulaşmak değiştirmek için. Güvenlik açığıdır. kapatın.


*Disable server: ağ üzerinde dosya veya yazıcı paylaşmıyorsanız (emule ile karıştırmayın-ayrı şey) kapatın.


*Disable security service: KAPATIN-güvenlik merkezini kapatır, başımızın ağrısı biraz olsun diner.


*Disable SSDP service: UPNP ile ilgili birinci servis- kapatın.


*Disable Universal Plug And Play: UPNP ile ilgili ikinci servis- kapatın.


*Disable webclient: kapatın. gereksiz.


*Disable windows image aquisition(WIA): bu servis, kameralar ve scannerler içindir. Hemen hemen her donanım kendi sürücüsü ve programlarıyla geldiği için bu servise ihtiyaç yoktur. Kapatın gitsin.


*Disable windows firewall: microsoft un şaka gibi firewallını kaldırmak için...


Mozilla Firefox:


*Disable moster cookie: firefox birden çok aynı yerden gelen cookie yi tek bir yerde toplar. Kapatın.


*Disable Ping-links: Her tıklamada tıklanan yere ping atılır. gereksiz, kapatın.


Event ID 4226 patch: http://levellord.de XP,normalde 10 dan fazla bağlantıya izin vermez. Bu önlemi almasının sebebi, network üzerinden yayılan solucanların hızını yavaşlatmaktır. Çok gereksiz bir şey olduğu için Event Id4226 ile bu sayıyı 50,100 hatta 16.677.214 yapabiliriz. Enterasan bir şekilde bu sayede windows da hızlanır çünkü bazı servisler de 127.0.0.1 üzerinden loopback yapıp bir nevi mantıksal döngü ile çalıştıkları için bağlantı sayısının artması servislerin de hızlı çalışmasını sağlar. Ama en büyük etki, paylaşım programlarının(emule,bittorent vs) hızını arttırmasıdır.


Prefetch Clean And Control: http://www.majorgeeks.com XP, başlangıçta çalışan tüm dosyaların bir kopyasını 'Prefetch' klasörüne koyar ve defrag işlemi sırasında bu dosyalar hızlı erişim için sistem kök sürücünün başlangıcına yakın bir yere taşınır. Fakat, eğer sizde benim gibi sık sık program ekleyip kaldırıyorsanız Prefetch klasörü şişer ve bilgisayarın başlangıcı yavaşlamaya başlar. Bunu önlemek için sadece boot edilen dosyaların Prefetch'te tutulması, programların buradan kaldırılması gerekir. Programda önce 'Clean Prefetch Folder Now' a tıklayın sonra aşağıdan 'monitor boot file launch only' yi seçin
. Son olarak en alttaki 'set prefetch parametres' i tıklayın ve sistemi yeniden başlatın. Sonra bir defrag ve herşey hıphızlı :D


Tuneup SystemControl:


http://www.tune-up.com adresinden deneme sürümünü indirebilirsiniz.


*Animations and effects: Effects, Animation, Menu Appearance kısımlarında aşağıda best performans'ı seçerseniz gereksiz animasyonlar kapanır windows'unuz hızlanır.


*File Types: Menu Operations kısmında 'show send to' işaretini kaldırarak 'gönder' menüsünün çıkmasını engelleyebilirsiniz.


*Start menu:Behavior kısmında 'open menus indicated delay' aşağıda da 0 ı seçerseniz start menüsü hızlanacaktır.


*Network: My network places,advanced hepsinin işaretini kaldırın. İnternet time kısmına swisstime.ethz.ch ekleyin ve default yapın.


*Privacy: Advanced kısmında error reporting e tıklayın,General- 'show problem dialog' seçili olsun aşağıdan 'send no data' yı seçin. Üstten Microsoft products-iki kutuyu da temizleyin.


*Start and Maintenance: Desktop and taskbar: execute in seperate process. (masa üstü veya görev çubuğundan biri çökerse windows çalışmaya devam eder. Böyle bir durumda ctrl+alt+del-grev yöneticisinden sol üstte dosya-çalıştır-explorer.exe yazın, sistem kendine gelecektir.) Bu kısımda aşağıdaki kutuyu da işaretlemeyi unutmayın.


Harden-İt:


http://www.sniff-em.com adresinden ücretsiz indirebilirsiniz


Bu program ileri seviyede Tcp/Ip güvenliği sağlar. Ağ üzerinden DOS, SYN, ICMP vs.. saldırılarını önler. Programı kurmadan önce mutlaka bir geri dönüşüm noktası (system restore) oluşturun. Bu program, kurulum dosyası üzerinden kullanılır,ek bir arayüzü yoktur.( Kurulunca program dosyasını boşuna aramayın)


****Hızlı öneri: seçeneklerde bir şeye dokunmadan next ile geçebilirsiniz, en uygun önerilen seçenek seçili durumdadır.


Secure-İt:


http://www.sniff-em.com adresinden ücretsiz indirebilirsiniz


Program, bilgisayarınıza özel ileri seviye güvenlik açıklarını kapatmaya yarar.


****Hızlı öneri: seçeneklerde bir şeye dokunmadan next ile geçebilirsiniz, en uygun önerilen seçenek seçili durumdadır.



İlk güvenlik yazı dizisine 'Olağan Şüpheliler: Virüsler Ve Diğerleri..' ile başlamıştık. Bu yazı ile bilgisayarınızdaki güvenlik açıklarını kapattık, gelecek güvenlik yazımızda ise kişisel güvenliğimiz konusunu inceliyeceğiz.



Hoşça kalın, güvenliksiz kalmayın...


Peace out,


YankiZulu 'Cybergoth'

3 yorum:

  1. çok teşekkürler, mete.

    YanıtlaSil
  2. çok teşekkür ederim çok faydalı bir yazı olmuş

    barış güler

    http://www.yerbilimleri.com

    YanıtlaSil
  3. securty and privacy ile ne yazık ki IPC açığı kapanmıyor denedim.başka bir tavsiyeniz var mı?

    YanıtlaSil