Truva Atı (Trojan) Hakkında Ön Bilgi


Truva atları, kullanıcının sistemindeki haklarını kullanabilen (program çalıştırma gibi fonksiyonları içeren), sistemi tehlike durumuna atabilen programlardır. Sistemdeki yasal bir kullanıcı tarafından kurulabildiği gibi başka programları ve güvenlik açıklarını kullanarak sisteme girebilen bilgisayar korsanları tarafından da kurulabilir. Truva atlarını çalıştırarak sistemi çalışamaz hale getirmeyi planlayan kişi başarılı olabilir. Truva atları, İnternet hızını yavaşlatır ve yerleştikleri sistemi kullanarak Web'in geri kalanına yayılabilirler.

 

Truva Atının Etkileri


Kullanıcı sistemdeki sistem yöneticisi haklarını kullanabiliyorsa Truva atları da sistem yöneticisinin yapabildiği her şeyi yapar. Bu Unix'teki "root", Microsoft Windows NT'deki sistem yöneticisi hesapları ya da herhangi bir işletim sistemindeki yönetici haklarını kullanabilen herhangi bir kullanıcı olabilir. Sıralanan hesaplardan biri ya da tek kullanıcılı işletim sistemi (Windows95, MacOS) kullanılıyorsa Truva atları yardımı ile saldırı gerçekleştirilebilir.

Kullanıcının ağında Truva atlarını içeren herhangi bir sistem, ağdaki başka sistemleri de etkileyebilir. Paylaştırılmış ağlarda şifre gibi bilgileri basit şifrelenmiş ya da şifrelenmemiş şekilde gönderen sistemlerin güvenliği de azalmaktadır. Kullanıcının sistemi ya da ağı Truva atlarını içeriyor ise bilgisayar korsanları ağ yoklayıcısını çalıştırıp bilgisayardaki -kullanıcı adı ve şifreler dahil- özel bilgileri kaydedebilir.

 

Truva Atının Kurulması


Microsoft Internet Explorer tarayıcısının bedava ürün güncellemesini içeren elektronik postaların geniş yayılımı dikkat çekmektedir. Microsoft e-posta üzerinden yama ve güncellemeleri dağıtmamaktadır. E-posta yoluyla gelen mesajlar "ie0199.exe" adlı çalıştırabilir bir dosyayı içermekte ve kurulumundan sonra program, sistem üzerinde birkaç değişiklik yapıp uzaktaki sistemlerle bağlantı kurmaya çalışmaktadır. Ayrıca Truva atlarının sistemde yaptıkları değişikler farklılık göstermekte ve bu durum da Truva atlarının birçok şekli olduğuna işaret etmektedir.

Truva atları kullanıcılar yanıltılarak kurulabilir. Örneğin: Bilgisayar oyunlarını içeren herhangi bir e-posta ile de Truva atları gönderilebilir. Kullanıcı oyunun tanıtımından etkilenerek oyunu bilgisayarına kurabilir. Kullanıcı gerçekten bir oyun kurmasına rağmen arka planda kolay fark edilemeyen bir işlem çalışmaya başlar. Dosyaların silinmesi ve özel bilgilerin bilgisayar korsanına gönderilmesi gibi etkiler bu işlem tarafından yapılır.

Başka bir örnek ise, Web güvenliği üzerinde araştırmalar yapan şirketlerin dağıttığı bültenlerin sahtelerinin yapılıp, bültenlerle birlikte gelen yamaların sistem yöneticilerine kurdurulmasıdır.

Yazılım dağıtan sitelerde bilgisayar korsanı tarafından Truva atları ile değiştirilmiş yazılımlar olabilir. Truva atları içeren bir dağıtım sitesi başka dağıtım sitelerinin yansıtıcılarını içeriyor ise Truva atları birçok site tarafından çekilir ve İnternet'in her yerine hızlı bir şekilde yayılır. DNS (Domain Name Server - Alan Adı Sistemi) güçlü bir kullanıcı denetlemesi (authentication) sağlamadığı için, kullanıcılar farklı bir Web sitesine bağlanmak istediği zaman bilgisayar korsanları bağlantının arasına girip kullanıcıya hala güvenli bir bağlantı içinde olduğunu hissettirir. Bundan yararlanarak bilgisayar korsanı,  kullanıcılara Truva atlarını karşıdan yükletebilir ya da özel bilgileri açığa çıkartabilir.

Truva atı sistemde hatayı oluşturduktan sonra bilgisayar korsanları, sistem yardımcısı programların Truva atı içeren versiyonlarını kurabilir.

Son olarak, Truva atları Java applet, ActiveX control, JavaScript formlarında da bulunabilirler.

Çözümler

  • Kullanıcılara Truva atları ve tehlikeleri hakkında bilgi verilmelidir.
  • Sistem yöneticisi tarafından (tek kullanıcılı sistemler dahil), güvenilir kaynaklardan kurulan yazılımın her bölümü kontrol edilmeli ve geçiş sırasında üzerinde değişiklik olup olmadığına dikkat edilmelidir.
  • Sayısal imza sağlanmış olduğu zaman kullanıcıların imzayı onaylaması desteklenmelidir. Sayısal imzası olmayan yazılımlar CD gibi somut kaynaklarından edinilebilir.
  • Yazılım üreticileri ve dağıtıcıları tüm üretilen ve dağıtılan programlar için zor çözülebilen şifrelemeler kullanmalıdır.
  • Elekronik posta üzerinden gelen her dosya çalıştırılmamalıdır.
  • Web sayfalarında Java applet, ActiveX kontrolü, JavaScript çalıştırılacağı zaman dikkatli olunmalıdır.
  • Web sayfalarının içeriklerinin otomatik çalıştırılmaları devredışı bırakılmalıdır.
  • Günlük çalışmalarda "en az ayrıcalık" prensibi uygulanmalıdır.
  • Firewall ve yaygın Truva atlarını tespit edebilen antivirus programları kullanılmalı ve güncelleştirmeleri düzenli olarak yapılmalıdır. Firewall ve antivirus ürünleri kullanılarak tüm Truva Atları'nın bulunması imkansız olmasına rağmen, bu ürünler en popüler Truva atlarının sisteme zarar vermesine engel olurlar.
  • Kurulmaya ve çalıştırılmaya karar verilen tüm ürünlerin kaynak kodları kontrol edilmelidir. Truva atlarının çok hızlı bir şekilde bulunması ve kaynak kodlarının geniş bir şekilde gözden geçirilebildiği açık kodlu yazılımlar; kodu görünmeyen yazılımlarla karşılaştırıldığında daha avantajlıdır. Bununla birlikte, açık kaynak kodlu yazılım birçok kişi tarafından, tam kontrollü olmayan ya da az kontrollü geliştirilmeye elverişlidir. Kaynak kodunun gözden geçirilmesi pratik olmayabilir ve birçok Truva atlarının yazılımda olup olmadığı açık koddan anlaşılamayabilir. Dosyanın Truva atını içerip içermediği öğrenilmek istendiği zaman değiştirilme tarihi, büyüklüğü gibi dosya özelliklerine güvenilmemelidir.
  • Uçbirim öykünmesi (Terminal Emulation) için SSH, Web sunucusu için X.509 anahtar sertifikaları, elektronik posta için S/MIME veya PGP, değişik servisler için kerberos gibi şifrelemesi güçlü olan iki taraflı kullanıcı denetimi yapan sistemler tercih edilmelidir.
  • İnternet'ten gerçeğini kanıtlamayan bir yazılım çekildiğinde dikkatli olunmalıdır. Güvenilmeyen kaynaktan asla yazılım yüklenmemelidir. Truva atları ücretsiz olarak yüklenilen yazılımlarda da bulunabilir. Microsoft güncelleştirmeleri ve düzeltme ekleri her zaman Microsoft Windows Update veya Microsoft Office Update'ten yüklenmelidir.