Web Tarayıcıları için Rootkit

     Petko D. Petkovblogunda yayınladığı yazı insanı bu konuda gerçekten düşündürmeye yöneltiyor. Üzgünüm ki metnin tamamını çevirecek kadar vaktim yok, sadece ana hatlarına değineceğim. Eğer ingilizce biliyorsanız kesinlikle dökümanı okumanızı öneririm.

     Yazı, browser rootkitlerinin önemsenmediğini, buna neden olarak da bu tür teknikler ile sistemin tamamının ele geçirilemeyeceği söylüyor. Buraya kadar haklı, ancak günümüzde en önemli hazinenin bilgi olduğu ele alınırsa, bu tekniğin kötü eller tarafından keşfedilmesi halinde ne kadar tehlikeli olabileceğini bir düşünün. Bilgi akışının neredeyse tamamı tarayıcılar aracılığı ile yapılıyor; form bilgileri, parolalar, web mail servisleri ile gönderilen e-postalar ve niceleri. Sisteme kurulan, anti-virüs yazılımları tarafından yakalanma ihtimali şimdilik olmayan tarayıcı eklentileri ve 3. parti yazılımlar ile gönderilen/alınan her bilgi 3. bir kişinin eline rahatlıkla gönderilebilme riski var. Peki bu nasıl olabilir?

     Firefox’u ele alalım. Firefox’un bir çok bölümü Javascript, Python gibi yorumlanan diller ile yazılmış ve XUL, XML, RDF formatlarını destekliyor. Bir anti-virüs uygulamasının bu formatların rootkit olarak kullanıldığını farketmesi için bunların hangi alanda kullanıldığını, ne yaptığını anlayabilmesi gerekir ve henüz bunu yapabilen modern bir anti-virüs uygulaması yok, olması halinde de yakalaması zor olacağa benziyor. Herhangi biri bunları kullanarak Firefox veya Internet Explorer için rootkit yaparsa şu şekilde yayılabileceği öngörülüyor;

  • Dikkat çekmeyen eklentiler: Rootkitin kullanılabileceği en yaygın alan. Rootkit sisteme ve kullanıcıya görünür halde olur ayrıca herhangi bir yol ile kullanıcının bunun önemli bir eklenti olduğuna inanması sağlanır.
  • Gizli eklentiler: Rootkitin görünürlüğü kaldırılır ve gizlenir. Bu Internet Explorer’daki öntanımlı davranıştır. Firefoxta ise eklenti kurulum dosyasındaki bazı değerler değiştirilerek yapılabilir.
  • 3. Parti Rootkitler: Tarayıcılar ile beraber sıkça kullanılan Adobe Flash Player ve Adobe Acrobat Reader kullanılabilir. Adobe Acrobat Reader açısından bakacak olursak rootkit yazarı pdf dosyasına kolayca javascript kodu kopyalayabilir. Kullanıcı bunu ne zaman açarsa etkilenebilir. Flash Player açısından bakarsak; rootkit yazarı, flash player ayarlarını hafifleterek kendi belirlediği sitedeki flash player objesinin yasaklanmış bazı işlemleri yapmasını sağlayabilir.
  • Eklentilerin eklentileri ile yapılan rootkiler: Bir eklenti için yapılan eklenti yardımı ile gerçekleştirilebilir (greasemonkey için kullanıcı scriptleri gibi). Böylece saldırgan XSS proxy yardımı ile tarayıcı kontrol altına alabilir.

İleride çok farklı teknikler ile karşılaşacağız gibi görünüyor, ne dersiniz?

Reklamlar

3 thoughts on “Web Tarayıcıları için Rootkit

  1. Hmm, güzelmiş cevap cidden :) Son bölümdeki google ile ilgili söylediklierine tamamen katılıyorum :)


    On a side note – I really don’t like the idea of using a web browser to do “everything” – I like using browser to do browsing, while to do other things to use specialized applications. I like having my data on my local hard drive. It’s quite amazing that so many people these days use Google not only for searching, but also for email, calendaring and documents editing – it’s like giving all your life secretes on a plate! Google can now correlate all your web search queries with a specific email account and even see who are you meeting with next evening and also know what a new product your company will be presenting next week, as you prepared you presentation using Google Documents. I’m not sure whether it’s Google or the people’s naivety that disturbs me more

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Google+ fotoğrafı

Google+ hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Connecting to %s