Botnetlerle Mücadelede Dünyadaki ve Türkiye

advertisement
Akademik Bilişim’11 - XIII. Akademik Bilişim Konferansı Bildirileri
2 - 4 Şubat 2011 İnönü Üniversitesi, Malatya
Botnetlerle Mücadelede Dünyadaki ve Türkiye’deki Durum
Mehmet Kara, Necati E. Şişeci
TÜBİTAK-BİLGEM UEKAE, Kocaeli
mkara@uekae.tubitak.gov.tr, siseci@uekae.tubitak.gov.tr
Özet: Botnetler günümüzde verdiği zararlar ve uygulama alanları açısından zararlı yazılımlar
içinde ön sıralarda yer almaktadır. 1999 yılından beri bilinmelerine karşın sürekli protokol ve uygulama açısından güncellendikleri için etkin bir mücadele yöntemi geliştirilememiştir. Botnetlerle mücadele kişisel ve kurumsal anlamda yapılsa bile büyük başarılar elde edilememektedir. Bu
makalede botnetlerin genel yapısı, kullanım alanları, tespit yöntemleri, verdiği zararlar açısından
dünyadaki ve Türkiye’deki durumları ele alınmış ve etkin bir mücadele için kurumlara arası ve
ülkeler arası işbirliği ve koordinasyonun gerekliliği vurgulanmıştır.
Anahtar Sözcükler: Botnet, Komuta Kontrol Merkezi, İstenmeyen Eposta,
Dağıtık Servis Dışı Bırakma Atağı, Siber Ataklar.
Fighting with Botnets in the World and Turkey
Abstract: Botnets are the malicious software, known since 1999 at internet and computer networks. Because of fast changing applications and protocols of botnets there is not an effective
prevention method. In this paper architecture, application fields, detection mechanisms and
economics of botnets are investigated. General botnet and malware statistics is given in the
world and Turkey. Individual and organizational prevention mechanism is not enough for total
success. It is stated that strong collaboration and coordination require between organizations
and countries.
Keywords: Botnets, Command&Control Center, Spam, Distributed Denial of Service,
Cyber Attack.
1. Giriş
Botnetler son yıllarda siber ataklar başta olmak üzere geniş çaplı internet atakları için en
yaygın kullanılan zararlı yazılımlardır. Bot
kelimesi “Robot” kelimesinden türetilmiştir.
Robot daha önceden planlanmış işleri yapan
makinedir. Bu botların bir merkezden yönetilen büyük gruplarına botnet adı verilmektedir.
Botnetler genellikle tek bir merkezden yönetilerek botların bir koordinasyon içerisinde belli
amaçlar için yönlendirilmesinde kullanılırlar.
Botnetler tarafından kontrol edilen bilgisayarlar botnet üyesi ya da köle bilgisayar (Zombie)
olarak adlandırılmaktadır.
Botnet tehdidi 1999 yılında win32/prettypark
zararlı yazılımı ile ilk defa yapılan dağınık servis dışı bırakma (DDoS) atağından beri bilinmektedir. 2007 yılının sonunda tüm güvenlik
endüstrisi, botnetleri güvenlik listelerinin en
önemli tehdidi olarak kabul etmiştir. İlk botnetler IRC (Internet Relay Chat) protokolünü
kullanmışlardır. Daha sonra IRC protokolünün
kolayca fark edilmesi ve önlenebilmesinden
dolayı http, https, P2P gibi yeni haberleşme
protokolü arayışlarına girmişlerdir.
2007 Nisan ayında Panda software arka kapı
sağlayan bir kodu açıklayarak ilk defa Zunker’i
tanımlamıştır. Bu botnet dünyasında Botnet 1.0
495
Botnetlerle Mücadelede Dünyadaki ve Türkiye’deki Durum
Mehmet Kara, Necati E. Şişeci
mimarisinden Botnet 2.0 mimarisine geçiş olarak kabul edilmiştir [1]. Bu yapıda IRC değil http
protokolü kullanılarak haberleşme sağlanmıştır.
Bu yapıda kurban bilgisayar e-posta ile gelen
açıklığı çalıştırarak ya da bir web sayfasını ziyaret ederek Zunker’in bilgisayarına bulaşmasını
sağlıyordu. Bir defa zararlı yazılım bilgisayara
bulaştıktan sonra bilgisayar korsanları bilgisayarı uzaktan kontrol edebiliyordu. Zunker web
sunucu üzerinde çalışan çok iyi yazılmış php
ve CGI betiklerinden oluşuyordu. Fakat sadece bir arayüzden ibaret olup, ancak kurbanları
izleyebiliyordu. Doğrudan bilgisayarları tarayıp
bulaşamıyordu. Daha sonra rootkit teknolojisini
kullanarak şifreli haberleşmeleri dinleyen, dinlediği verileri MySQL’de sorgulama yapabilecek formatta gönderebilen Gozi botneti ortaya
çıktı ve onu değişik yetenekler içeren Mpack,
Dream Downloader, Storm worm izledi.
Günümüzde de Pandex, Cutwail, Rustock,
Donbot, Ozdok, Xarvester, Grum gibi botnetler çeşitli önlemler alınmasına karşı başta
istenmeyen eposta olmak üzere pek çok atak
yapmaktadır. 2009 yılı Aralık ayı verilerine
göre her gün 85 milyar istenmeyen eposta botnetler tarafından gönderilmektedir [2]. Yaygın
görülen botnetlerin 2008-2009 yıllarında yaydıkları istenmeyen eposta oranları Şekil 1’de
verilmektedir. Bu aynı zamanda bu yıllardaki
aktif botnetleri de göstermektedir [3].
Sıralama
2009
2008
Botnet
Yüzde
2009
2008
1
14
Pandex
18%
<1%
2
7
Rustock
15%
2%
3
3
Mega_d
10%
13%
4
10
Grum
8%
1%
5
19
Donbot
6%
<1%
6
19
Xarvester
5%
<1%
7
13
Bagle
5%
<1%
8
6
Other botnets
5%
2%
9
9
Bobax
2%
2%
10
2
Gheg
2%
1%
Şekil 1. Botnetlerin gönderdiği
istenmeyen eposta oranları
Günümüzde diğer zararlı yazılımlar gibi botnetler de çoğunlukla aşağıdaki yollardan birini
kullanarak yayılmaktadır [4].
•
•
•
Güvenlik olmayan ya da zayıf olan politikalardaki açıklıklar,
BT (Bilişim Teknolojileri) ürünlerdeki güvenlik açıklıkları,
Sosyal mühendislik taktikleri
Botnetler, verdikleri zararlar ve uygulama
alanları açısından zararlı yazılımlar içinde ön
sıralarda bulunmaktadır.
Botnetler çevrimiçi (online) bilgisayar sistemlerinin karşı karşıya olduğu en büyük tehdittir.
Dağıtık bilgisayar sistemleri olan botnetler, finansal dolandırıcılık, siber ataklar, dağıtık servis dışı bırakma atakları (DDoS), istenmeyen
eposta gönderme, ajan yazılımlar, yemleme
(Phising) epostaları, yazılımların yasal olmayan dağıtımı, bilgi ve bilgisayar kaynaklarının
çalınması, kimlik hırsızlığı gibi birçok bilgisayar saldırısı için de kullanılabilirler.
Botnetler birkaç katmanlı C&C (komuta kontrol - Command&Control) merkezleri sayesinde
değişik dillerdeki, değişik ülkelerdeki, değişik
zaman dilimlerindeki, değişik yasalar altındaki
bilgisayarları kontrol etmeyi sağlayan mekanizmalardır. Bu mekanizmalar botnetlerin izlerini
sürmeyi zorlaştırdığı için onları bilişim suçları
için çekici bir araç haline getirmektedir.
Önceki nesil virüs ve kurtçuklarda olduğu gibi
botnetler de kendi kendilerine açıklık içeren
bilgisayarlara bulaşarak yayılan zararlı yazılımlardır. Buna karşın botnetleri diğerlerinden
ayıran özellik C&C merkezi ile haberleşerek,
kendilerini güncelleyebilmeleri ve yönetilebilmeleridir. Çok katmanlı komuta kontrol yapısı
botnet yöneticilerini gizleyen yapılar sunmaktadır. Botnetler C&C merkezlerine göre IRC
tabanlı, http tabanlı, P2P (Point To Point) tabanlı ve DNS tabanlı olmak üzere dört kategoride değerlendirilmektedir [2,4,5,6].
496
Akademik Bilişim’11 - XIII. Akademik Bilişim Konferansı Bildirileri
2 - 4 Şubat 2011 İnönü Üniversitesi, Malatya
Tipik bir botnetin yaşam döngüsü, enfeksiyon,
bilgi çalma, bağlantıyı sürdürme, zararlı faaliyetleri yerine getirme, enfekte etme ve botnet oluşturma olmak üzere beş fazdan oluşur. Şekil 2’de
tipik bir botnet yaşam döngüsü görülmektedir
Enfeksiyon fazında kurban bilgisayara botnet
zararlı yazılımı bulaşır. İkinci fazda zararlı
yazılım aracılığı ile bilgisayardaki önemli bilgiler (kredi kartı numarası, lisans anahtarları,
kişisel bilgiler, parolalar vb.) C&C merkezine
gönderilir: Üçüncü aşamada saldırgan C&C
merkezinden aldığı komutlarla altağı bilinen
açıklıklar için tarar ve açıklık bulduğu makineleri enfekte eder. Dördüncü aşamada C&C
merkezinden gelen komutlarla istenilen zararlı
faaliyetler yürütülür. Beşinci aşamada ise kendini günceller ve faaliyetlerine devam eder.
Köle bilgisayar her başlatıldığında bot uygulaması otomatik olarak başlar ve çevrimdeki
görevlerini yerine getirir[5,6,7 ].
Şekil 2. Botnet yaşam döngüsü
Enfeksiyon fazından sonra botnet üyesi bilgisayar tüm faaliyetlerini C&C merkezinden
gelen komutlarla yürütür. Bu arada aradaki
haberleşmenin tespit edilmemesi için değişik
güvenlik mekanizmaları (şifreli haberleşme,
farklı protokol kullanma, farklı C&C merkezlerine bağlanma vb.) kullanır.
2. Botnet Tespit Yöntemleri
Son yıllarda botnet tespiti üzerinde çok sayıda
araştırma yapılmaktadır. Bu araştırmalarda botnetleri tespit etmek için temel iki yöntem kullanılmaktadır. Bir tanesi balküpleri (Honeypot)
diğeri ise pasif trafik analizidir. Balküplerinin
kullanılması botnet davranışları ve botnet teknolojilerinin anlaşılması için çok faydalı fakat
botnet enfeksiyonunun tespiti için yeterli değildir. Diğer taraftan pasif ağ trafiğinin dinlenmesi ağdaki botnetlerin yakalanması için çok
faydalıdır. Pasif ağ trafiğinde botnetlerin analizi için imza tabanlı, anormallik tabanlı, DNS
trafiği temelli ve veri madenciliği temelli tespit
olmak üzere dört metot ön plana çıkmaktadır.
Bu metotların uygulanması ağlardaki gerçek
botnetlerin tespit edilmesini sağlamaktadır.
2.1 İmza Tabanlı Tespit
Botnetlerin davranış ve imzaları tespit edilmeleri için çok faydalı bilgiler sunmaktadır. Bu
tür tespitlerde genellikle saldırı tespit sistemleri kullanılmaktadır. Bilinen botlar için saldırı
tespit sistemine imza girilerek botnetlerin tespit edilmeleri sağlanmaktadır. Fakat bu yöntem bilinmeyen botnetlerin tespit edilmesinde
etkisiz kalmaktadır. Çünkü botnet tespit edilip
imza üretilinceye kadar önemli zararlar vermektedir. Son yıllarda birçok atağın doğrudan
kişi ya da kurumu hedeflediği düşünüldüğünde
bu yöntemin tek başına etkin koruma sağlamayacağı görülebilir.
2.2 Davranış Tabanlı Botnet Tespiti
Davranış tabanlı botnet tespiti ağ trafiğindeki
gecikme, belli porttan aşırı trafik, belli trafiklerin oluşması gibi anormalliklere bakarak botneti tespit etmeye çalışır[8].
Davranış tabanlı botnet henüz ortaya çıkmamış
botneti tespit etmesine karşın hatalı tespit oranı
da yüksektir. Örneğin normal bir IRC trafiğini
botnet gibi algılayabilir. Bunun için Binkley
ve Singh IRC trafiğinde botneti başarılı olarak
tespit eden bir algoritma geliştirmişlerdir [13].
497
Botnetlerle Mücadelede Dünyadaki ve Türkiye’deki Durum
Mehmet Kara, Necati E. Şişeci
498
Zararlı Yazılım
İstenmeyen
Eposta
Oltalama
Bot
Atak Kaynağı
1
1
China
8%
9%
3
8
6
2
2
Brazil
6%
4%
5
1
12
3
6
Germany
5%
6%
21
7
2
5
3
India
4%
3%
2
3
21 20 18
United
Kingdom
3%
5%
4
19
7
14
3%
2%
12
2
5
19 10
3%
3%
23
4
8
8
17
3%
3%
16
9
18
6
8
3%
4%
14
11
11
7
9
United
States
2
2
3
5
4
3
5
11
6
4
7
12
8
10
9
7
10
6
2008
1
2009
6
Ülke
1
1
3. Dünyada ve Türkiye’deki Durum
Botneler ilk görülmeye başladığı günden bu
tarafa zararlı yazılımlara paralel olarak hızla
19% 23%
1
Poland Russia
Bu konuda IRC trafiği başta olmak üzere birçok
çalışma yapılmıştır. Masud ve arkadaşları tarafından geliştirilen yöntem ağ trafiği kayıtlarının ilişkilendirmeye (kolerasyona) tabi tutularak botnetlerin tespit edilmesi sağlanmıştır[10].
Bu yöntemde veri kısmıyla ilgilenilmediği için
C&C ile şifreli haberleşen botnetlerin bile tespit edilmesi sağlanmıştır. Botminer aracı bu
konuda geliştirilmiş başarılı sonuçlar üreten
araçlardan biridir [11].
2009 Aktivite
Sıralaması
Yüzde
Italy
2.4 Veri Madenciliği Tabalı Tespit
Botnet tespitinde önemli tekniklerden biri botnet ve C&C merkezi arasında trafiğin tespit
edilmesidir. Botnet ve C&C arasındaki trafik
hem limiti düşük hem gecikmesi düşük normal
trafiktir bu yüzde davranış tabanlı botnet tespit
yöntemleriyle kolayca tespit edilemezler.
Sıralama
Spain
2.3 DNS Tabanlı Tespit
Bu yöntemde DNS (Domain Name System) trafiği incelenerek davranış tabanlıda olduğu gibi
DNS trafiğindeki anormalliklerden botnetler
tespit edilir. Botnet C&C merkezi ile bağlantı
kurmak için sık sık DNS ile haberleşir. C&C
merkezinin kolayca tespit edilmesini önlemek
için DNS’ten faydalanılır. DNS trafiğindeki bu
anormal değişikliklerde botnetin tespit edilmesinde önemli veri sağlar.
2008
Bu tür yaklaşımda trafik çok iyi incelenmeli,
kurum politikaları ve trafik arasındaki ilişki
incelenmelidir. Botnet olduğu düşünülen aktivite tespit edildikten sonra trafik üzerinde ek
incelemeler yapıldıktan sonra kesin karar verilmelidir. Bu tespit yönteminde yanlış alarm
olasılığı yüksektir.
artmaktadır. Özellikle geniş kitleleri hedef almaları, etkilerinin çok yüksel olması ve yönetilebilir olmalarından dolayı bilgisayar korsanları tarafından tercih edilmektedir. Bu esnek
yapı finansal sahtecilik, bilgisayarlara yasal
olmayan yollarla girme, hırsızlık, korkutma
gibi çok çeşitli bilgisayar suçlarının kolayca
işlenmesine altyapı oluşturmaktadır. Şekil 3’te
botnetlerin zararlı yazılımlar içerisinde önemli
bir yer tuttuğu görülmektedir. Hatta botnetler
bu zararlı yazılımları kullanarak köle bilgisayarlardan bilgi toplamakta ya da onlar üzerinde
işlem yapmaktadır.
2009
2007 yılında Karasiridis ve arkadaşları taşıma
katmanındaki trafik davranışlarına bakarak
botneleri tespit eden etkili bir algoritma geliştirmişlerdir [9]
4
Şekil 3. Botnetlerin zararlı yazılımlar içindeki yeri
Akademik Bilişim’11 - XIII. Akademik Bilişim Konferansı Bildirileri
2 - 4 Şubat 2011 İnönü Üniversitesi, Malatya
Bu listede Türkiye 12. sırada yer almaktadır.
2008 yılının raporlarında ise ilk onun içerisinde
yer alıyordu. Türkiye’nin bu listede biraz daha
gerilere düşmesinin ardında İSS’lerde (İnternet
Servis Sağlayıcı)eposta için kullanılan 25 numaralı port yerine daha güvenli olan 587 numaralı portun kullanılmaya başlaması ve Polonya,
Rusya ve Hindistan’daki zararlı yazılımların
hızlı artmasıdır. Gerçekte Türkiye’deki zararlı
yazılımların önlenmesinde önemli mesafeler
alınmış değildir[3].
Sıralama
Ülke
Yüzde
Zararlı Yazılım
İstenmeyen
Eposta
Oltalama
Bot
Atak Kaynağı
Avrupa, Orta Doğu ve Afrika (EMEA) zararlı yazılım istatistiklerine bakıldığında
Türkiye’nin üst sıralarda yer aldığı görülmektedir [12]. Bu durum Şekil 4’de verilmiştir.
1
Germany
15%
3
2
1
1
4
2
United
Kingdom
13%
1
3
2
5
1
3
Italy
9%
7
5
6
2
3
4
Russia
8%
4
4
5
9
2
5
Netherlands
7%
9
1
4
12 12
6
France
6%
5
12
3
7
7
Poland
6%
8
9
7
4
7
Spain
6%
6
7
8
6
6
9
Turkey
5%
2
16
15
8
8
10
Hungary
3%
26
17
16
3
13
11 Eylül 2001’de ikiz kulelere yapılan saldırıdan sonra başta ABD olmak üzere Avrupa
Birliği, Japonya, Kanada gibi ülkeler siber
savunmayı da içeren güvenlik önlemleri için
çalışmalar başlatmışlardır. Siber saldırılarda
botnetler en sık kullanılan saldırı aracıdır. Bu
konuda gerekli yasal düzenlemeler, ilgili kurumların oluşturulması, stratejilerin belirlenmesi konularında önemli mesafeler alınmıştır.
NATO, OECD gibi organizasyonlar da bu konularda çalışmalar yapmaktadır.
Türkiye de botnetlerin önlenmesi konusunun
da içinde yer aldığı zararlı yazılımlara ya da dışarıdan gelebilecek siber ataklara karşı önlem
alınması için bazı çalışmalar başlatılmıştır.
NATO tarafından Estonya’da kurulan Siber
Savunma Mükemmeliyet Merkezi’ne ülkelerin temas noktası bildirilmesi istenmiştir. Dışişleri Bakanlığı şu anda ülkemizdeki
Bilgisayar Olaylarına Müdahale ekiplerinin
(CERT) koordinasyonunu yapan BİLGEMUEKAE’yi ulusal temas noktası olarak belirmiştir. Yine NATO tarafından istenilen Ulusal
Sayısal Savunma Politikası’nı hazırlama görevi
UEKAE’ye verilmiştir. Söz konusu politika dokümanı UEKAE’nin koordinasyonunda 19 adet
kamu kurumunun katılımıyla hazırlayıp Ocak
2009’da Başbakanlığa teslim edilmiştir. Hali
hazırda belgenin onaylanması beklenmektedir.
5
8
ise hedef olan ülkeler ya da kurumlar prestij
kaygısı ile bu atakları doğrulamamışlardır.
Şekil 4. 2010 yılı Avrupa Orta Doğu ve
Afrika bölgesi zararlı yazılım istatistikleri
Botnetler son yıllarda özellikle siber savaşların
en önemli aracı olarak değerlendirilmektedir.
Bu çerçevede 2007 yılında Estonya’ya yapılan
siber savaşta ve 2008 yılında Gürcistan-Rusya
savaşında kullanılmıştır. Zaman zaman ülkeler
ve kurumlar için bu tür atakların yapıldığı ileri
sürülse de bazılarında botnetlerin doğası gereği
yeterince delil ortaya konulmamış, bazıların da
Ülkemizde kritik altyapılar ile ilgili daha yakın
bir gelişme 2009 Sonbaharı’nda gerçekleşmiştir. Başbakanlık Kanunlar ve Kararlar Genel
Müdürlüğü bünyesinde oluşturulan ve çalışmalarına fiilen 3 Mart 2009 tarihinde başlayan
e-Mevzuat Çalışma grubu, 7 Ağustos 2009
tarihi itibarıyla “e-Devlet ve Bilgi Toplumu
Kanun Tasarısı Taslağı”nı hazırlamıştır. Bu da
hali hazırda yasalaşmamıştır.
Bu resmi çalışmalar dışında birçok kurum kendi içerisinde BT sistemlerinin güvenliği için
499
Botnetlerle Mücadelede Dünyadaki ve Türkiye’deki Durum
Mehmet Kara, Necati E. Şişeci
standart, politika, prosedür uygulamaktadır.
Başbakanlık, BDDK, BTK, EPDK gibi kurumlar düzenleme ve denetimlerini yaptıkları kurumlar için çeşitli düzenlemeler getirmektedir.
Fakat bunların ötesinde ülkedeki BT sistemlerinin güvenliğinin sağlanması için bütüncül
bir bakış açısı ve ülke genelinde bu olayları ele
alıp yönetecek düzenlemelere ihtiyaç vardır.
•
4. Botnet Önleme Yöntemleri
•
Botnetler karşı etkin bir mücadele için teknik
önleme yöntemlerinin yanında ulusal ve uluslar
arası politikalar oluşturulup BT sistemlerinde
güvenliği sağlayacak standart ve çerçevelerin
kullanılması sağlanmalı, hali hazırdakiler yeterli
değilse yeni standart ve çerçeveler geliştirilmelidir. Bu güvenlik standartları belli düzenlemelerle tüm kurumlara uygulanmalı ve ülkedeki bilgi
güvenliği olayları koordine edilmelidir. Zararlı
yazılmalarla mücadelede ülke için mücadele yanında uluslararası koordinasyon da büyük önem
arz etmektedir. Bunun için de ülkedeki bilgisayar olaylarını ele alacak dış ülkelerle koordinasyonu sağlayacak BOME ekipleri kurularak
uluslararası koordinasyon sağlanmalıdır.
Ulusal ve uluslar arası koordinasyon yanında
botnetlerle etkin mücadele için kurumsal düzeyde aşağıdaki güvenlik önlemleri alınmalıdır:
•
•
•
•
Kurumlar kendi içlerinde bilgisayar olaylarına müdahale mekanizmasını kurarak
bilgisayar olayı olduğunda kolayca müdahale edilmesini sağlamalıdır.
Kullanıcılar bilgisayar teknolojileri güvenliği konularında sürekli bilinçlendirilmelidir.
Derinlemesine güvenlik stratejisi uygulanmalıdır. Bu yüzden tek nokta hataları
giderilmeli sistemdeki güvenlik varlıklarının (işletim sistemleri, sunucular, güvenlik duvarları, saldırı tespit sistemleri, vb.)
güncellikleri ve güvenli yapılandırılmaları
sürekli kontrol edilmelidir.
İstenmeyen epostaları engellemek için
DNS karalisteleri kullanılmalıdır.
•
•
•
Sistem yöneticileri kullanıcıların sistem
üzerindeki haklarını sadece işlerini yapabilecek düzeye çekmelidir.
Etkin bir parola politikası uygulanmalıdır.
Ağdan içeri giren ve dışarı çıkan trafik etkin filtreleme araçları ile kontrol edilmeli,
yetkilerin aşılması ya da zararlı aktivitelere karşı sistem kayıtları düzenli olarak
incelenmelidir.
Eposta sunucular, kurum içinden gelen
fakat kaynağı başka yer olarak gözüken
epostaları engelleyecek şekilde yapılandırılmalıdır.
Eposta sunucu yaygın olarak virüs yaymak için kullanılan uzantıları (exe, vbs,
bat, pif, src)içeren epostaları engelleyecek
şekilde yapılandırılmalıdır.
5. Sonuç ve Öneriler
Botnetler, siber ataklar, finansal sahtecilik,
servis dışı bırakma atakları, bilgisayarlara
yasal olmayan yollarla girme, bilgi hırsızlığı,
korkutma gibi çok çeşitli bilgisayar suçlarının
kolayca işlenmesine altyapı oluşturmaktadır.
Botnetler kullanılarak yapılan ataklar kişileri
ve kurumları hedef almaları yanında ülkeleri
de hedef alabilmektedir. Bu yönüyle bakıldığında botnetlerle mücadelede kişilerin ve kurumların aldığı güvenlik önlemlerinin yanında
ulusal ve uluslar arası düzenleme ve koordinasyona ihtiyaç duyulmaktadır. Bu konuda
birçok ülke çalışmalar başlatmıştır. Türkiye’de
kurumsal bazda kısıtlı bazı koruma önlemeleri alınmasına karşın ulusal düzeyde koruma
sağlayacak yasal bir düzenleme ve denetleme
mekanizması bulunmamaktadır. Gerekli yasal
düzenlemeler ve kurumsal güvenlik önlemleri
yanında botnet gibi organize atakları gözetleyecek, tespit edip önleyecek ulusal düzeyde
altyapılar kurulmalıdır.
5. Kaynaklar
[1] Rachreiner C., Pinzon S., “Understanding
and Blocking The New Botnets” www.watchguard.com, (2008).
500
Akademik Bilişim’11 - XIII. Akademik Bilişim Konferansı Bildirileri
2 - 4 Şubat 2011 İnönü Üniversitesi, Malatya
[2] Zorz Z., http://www.net-security.org/ secworld.php?id=8599, (2009)
[3] Symantec Global Internet Security Threat
Report Trends For 2009, Symantec, (2010)
[4] Microsoft Security Intelligence Report v9,
http://www.microsoft.com/security/sir,(2010)
[5] M. Rajab, J. Zarfoss, F. Monrose, and A.
Terzis, “A multifaceted approach to understanding the botnet phenomenon,” in Proc. 6th
ACM SIGCOMM Conference on Internet Measurement (IMC’06), (2006), pp.41–52.
[6] Z. Zhu, G. Lu, Y. Chen, Z. J. Fu, P.Roberts,
K. Han, “Botnet Research Survey,” in Proc.
32nd Annual IEEE International Conference on Computer Software and Applications
(COMPSAC ‘08), 2008, pp.967-972.
[7] K. K. R. Choo, “Zombies and Botnets,”
Trends and issues in crime and criminal justice,
no. 333, Australian Institute of Criminology,
Canberra, (2007).
[9] A. Karasaridis, B. Rexroad, and D. Hoeflin,
“Wide-scale botnet detection and characterization,” in Proc. 1st Workshop on Hot Topics in
Understanding Botnets, (2007).
[10] M. M. Masud, T. Al-khateeb, L. Khan, B.
Thuraisingham, K. W.Hamlen, “ Flow-based
identification of botnet traffic by mining multiple log file,” in Proc. International Conference on Distributed Frameworks & Applications
(DFMA), Penang, Malaysia, (2008).
[11] G. Gu, R. Perdisci, J. Zhang, and W. Lee,
“Botminer: Clustering analysis of network
traffic for protocol- and structure independent
botnet detection,” in Proc. 17th USENIX Security Symposium, 2008
[12] Symantec Intelligence Quarterly-EMEA,
Haziran-Eylül 2010, (2010)
[13] J.R. Binkley and S.Singh, “An algorithm
for anomaly-based botnet detection,” in Proc.
USENIX Steps to Reducing Unwanted Traffic
on the Internet Workshop SRUTI’06), (2006).
[8] B. Saha and A, Gairola, “Botnet: An overview,” CERT-In White PaperCIWP-2005-05,
(2005)
501
Download