Bu yazıda sizlere “Güvenli” olarak tabir ettiğimiz bir bilgisayarın olası saldırılara maruz kalmadan önce, bu saldırılardan sisteminizi nasıl koruyabileceğinizi ve güvenlik ihlali sırasında ve sonrasında neler yapabileceğinizi anlatmaya çalışacağım.
Güvenlik Hazırlıkları Aşamasında Neler Yapılmalı? (Ağ’a Bağlanmadan Önce)
Sisteminize izinsiz giriş yapacak siyah şapkalı bilgisayar korsanlarına karşı, onları etkisiz hâle getirebilmek ve sisteminizi olabildiğince kısa bir sürede eski hâline getirmek için uygulamanız gereken birkaç adım var. Buna, bir nevi olası saldırılar öncesi yapılan hazırlık senaryoları adını da verebilirsiniz.
Bir, sistemdeki önemli belgelerin yedeğinin alınması;
Günümüzde birçok yedekleme seçeneği mevcut; zira sabit diskinizdeki önemli belgelerinizi, arşivleyeceğiniz içerikleri, taşınabilir harici disklere yedeklemeniz bu durumda en doğru ve sağlıklı seçenektir. Bu sayede içerikleriniz uzun ömürlü ve kullanılmaya hazır olarak, tarafınıza yapılacak herhangi bir saldırıdan dolayı gerçekleşecek veri kaybında kolayca geri döndürülebilir. Sadece taşınabilir harici diskler değil, önemli içeriklerinizi depolayıp korumanız amacı ile kullanabileceğiniz sanal disk sistemleri, taşınabilir disk sistemleri, CD-R, DVD-R gibi birçok depolama aracı mevcut.
Yedeğinizi aldıktan sonra, mutlaka kontrol ediniz; unutmayınız ki iyi bir yedeğin anlamı, sistemi iyi bir noktadan tekrar yerine koyabiliyor olmanızdır.
İki, Tripwire, Samhain tarzı yazılımların kullanılması;
Yeni bir Linux sistemi oluştururken, ağları ve diğer kullanıcıları çalışır duruma getirmeden önce en başta almanız gereken önlem, bir bütünlük denetçisi ile sistem dosyalarınızın başlangıç durumlarının bir görüntüsünü, yani kaydını almanız olmalıdır. Yapmadığınız takdirde, daha sonra bu dosyalardaki değişiklikleri güvenilir biçimde tespit edemezsiniz, zira bu husus çok önemlidir.
Tripwire, Samhain gibi araçlar, bütünlük denetçileri konusunda bilinen en iyi yazılımlardır. Sisteminizin bilinen bir durumdaki hâlini saklar. Böylelikle siz, farklılıkları ortaya çıkarmak için dosyaları olağan durum bilgileri ile karşılaştırabilir, farklılıkları saptayabilirsiniz. Örneğin, sisteminize sızan ve şifresiz geçiş yapmak isteyen bir bilgisayar korsanı, /bin/login dizinindeki dosyaların kırılmış (sızılmış) bir sürümünü sisteme koyabilir. Ya da sahte bir /bin/ls dosyası oluşturarak izlerini kapatabilir ve sisteminizde aylarca, hatta yıllarca barınabilir. Bu tür izinsiz girişler önemli sistem dosyalarını beklenmedik değişikliklere karşın düzenli aralıklarla denetleyen bir program olan bütünlük denetçileri ile tespit edilebilir.
Üç, sistem hesap verilerinin takip edilmesi;
/var/log dizini altındaki dosyaların sadece sınırlı sayıda kullanıcı tarafından okunup yazılması iyi bir başlangıç olabilir. Hesap verilerinin takip edilmesinde dikkat edilmesi gereken en önemli olay, “auth” verilerinin kontrol edilmesidir. Birden çok başarısız giriş, sızmak isteyen kötü niyetli bir bilgisayar korsanının göstergesi olabilir. Günlük dosyanızın nerede olduğu çoğu zaman dağıtımınıza bağlıdır. Linux dosya konum hiyerarşisine uyan bir dosya sisteminde -örneğin Ubuntu’da- /var/log dizininde bulunur. auth.log, boot.log, sys.log ve benzeri günlüklere dilediğinizce göz atabilirsiniz. Günlük dosyalarınız kurcalandıysa, tam olarak ne çeşit şeylerin ne zaman kurcalanmaya başladığını belirlemeye çalışın. Kurcalanmamış günlük dosya yedekleriniz mevcutsa, onlara göz atın. Bu sayede herhangi bir girişim varsa, fark edebilirsiniz. Sisteme izinsiz girenler, çoğu zaman tipik olarak izlerini gizlemek amacı ile günlük dosyalarını değiştirir. Yine de garipsediğiniz olguları belirlemek amacı ile göz atabilirsiniz. Bir ihtimal izinsiz giren kişinin root hesap için giriş kazanmaya çalıştığını belirleyebilir ya da onun fark edemediği ve izini bıraktığı bir şeyi bulabilirsiniz.
Dört, güncellemelerin gerçekleştirilmesi;
Dağıtımınızın son güncellemelerini gerçekleştirmeniz önemlidir. Sisteminizi ağ’a bağlamadan önce kurduğunuz sistemden beri gelen güncellemelerden haberdar olup bunları sisteminize entegre etmek iyi bir fikirdir. Zira bu güncellemelerin çoğu önemli güvenlik onarımlarını içermektedir.
Güvenlik İhlali Sırasında ve Sonrasında Neler Yapılmalı?
Bu yazıdaki önerileri dinlediniz ve incelemelere başladığınızda sistemde bir saldırı girişimi olduğunu sezdiniz. İlk yapacağınız şey sakin olup soğukkanlılığınızı korumanız olmalıdır, aksi hâlde sistemin daha çok bozulmasına yol açabilir, yapacağınız işlemlerde daha fazla güvenlik zaafiyetine zemin hazırlayabilir, daha fazla veri kaybedebilirsiniz. Bu yüzden sakin olun. Öncelikle günlüklere göz atıp nereden giriş yaptığını bulabilirsiniz. Bunun için uzman olmanıza gerek yok; farklılık, girmediğiniz saatlerde giriş yapmış bir root kullanıcısının varlığı vb. tüm olaylar saldırı girişimine örnek olabilir.
Eğer ihlali yapanın yerel bölgenizden biri olduğunu düşünüyorsanız, onunla telefon veya eposta yolu ile görüşebilir, bu tutumu ile ilgili bilgi alabilirsiniz. Eğer sistemde olduğu konusunda emin olabilirseniz, neden yaptığı ile ilgili açıklama yapma hakkını da tanıyın o kişiye. Bu tür olayları iyice araştırmalı ve bir suçlamaya girişmeden önce, fazlasıyla bilgi sahibi olmalısınız. Aksi hâlde yanlış tutum ve kararlar sizin haksız çıkmanıza yol açabilir ve bu fazlasıyla kötü bir durumdur.
Eğer bir ağ güvenliği ihlali belirlediyseniz;
İlk yapılacak şey, yapabiliyorsanız İnternet ağınızın bağlantısını kesmektir. Modem kablosunu bilgisayardan ayırabilir ya da ethernet yolu ile İnternet ağından faydalanıyorsanız, ethernet kablosunu çıkarabilirsiniz. Bu yöntem, size saldıran kötü niyetli kişilerin sisteminize daha fazla zarar vermesini engelleyecek, sizin saldırıyı önlemeniz için zaman kazanmanıza ortam hazırlayacaktır. Eğer ağ bağlantısını kesemiyorsanız; Yoğun kullanımlı bir İnternet sunucunuzun olduğunu varsayarak, ağ bağlantınızı kesemediğinizi farz edelim. Bu gibi durumlarda atılacak en iyi adım, izinsiz giriş yapan saldırganın sitesinden erişimi reddetmektir. Bunu tcp_wrappers kullanarak uygulayabilirsiniz.