31 Temmuz’u 1 Ağustos’a bağlayan geceyarısı Türkiye saati ile 03:00’da aktif hale geçen Code Red adlı solucan, ilk aşamadaki tesbitlere göre, az sayıda hasar verdi. Ancak gerçek hasarın bir hafta içinde belli olacağı açıklandı.
Türkiye saati ile sabaha karşı 03.00’te harekete geçen virüs, hızla yayılmaya başladı. Binlerce bilgisayarı vurması beklenen Code Red, faaliyete geçtikten sonra sadece tarih ve zaman ayarı yanlış olan birkaç bilgisayara zarar verdi.
Türkiye’den şikayet yok
İnfonet yetkililerinden aldığımız bilgiye göre, Türkiye’den Code Red saldırısı konusunda bir şikayet gelmedi. Son kullanıcı makinalarında etki yapmayan ancak web sitelerine saldıran ve server bağlantılarını etkileyen virüs, genelde ABD’de host edilen Türk web sitelerinde sorun yaratması bekleniyor.
İlk saldırı iki hafta önceydi
İki hafta önceki ilk saldırısında, Code Red’in 1 Ağustos tarihine kadar 1.2 milyar dolarlık zarara yol açtığı belirtiliyor.
ABD’deki Ulusal Altyapı Koruma Merkezi’nden (NIPC) yapılan açıklamaya göre, 19 Temmuz’da ABD’de 350 bin sunucuya bulaşarak zarar veren Code Red 19 Temmuz’daki saldırısında özellikle ABD hükümetine ait siteleri hedeflemişti. Önce Beyaz Saray’ı hedefleyen ancak çökertmeyi başaramayan solucan, Pentagon’un sitesini başarıyla çökertmiş, siteye girmek isteyen ziyaretçiler birkaç saat boyunca “Hacked by Chinese” (Çinlilerce hack edildi) ifadesiyle karşılaşmışlardı.
Değerlendirme için henüz erken
Dünyada yarım milyon bilgisayarı etkileyeceği ve internet trafiğini yavaşlatacağı iddia edilen “Kızıl Kod” virüsü, faaliyete geçtiği ilk saatlerde sanıldığı kadar zararlı etkide bulunmadı.
Code Red virüsünü gözlemleyen uzmanlar, internet üzerinde aktivitenin normal seyrettiğini, herhangi bir yavaşlama görülmediğini açıkladı. Virüs için özel olarak oluşturulan ekipte, network güvenlik görevlileri ve FBI personeli de yer alıyor.
Bilgisayar güvenliği kuruluşu SANS Enstitüsü araştırma bölümü müdürü Alan Paller de daha önceki Kırmızı Kod virüsünün bilgisayarları vurmasının 7 gün aldığını hatırlattı.
Web sunucularına saldırı
Solucan, sabit diskte bir dosya olarak yer almıyor. Sadece RAM bellekte bulunuyor. Her ayın ilk 19 günü bulaşma devresi yaşayan Code Red, sonraki 9 gün saldırı dönemine giriyor. Bulaştığı bilgisayarlardan Web sunucularına DoS saldırıları düzenleyen solucan, sunucuların yanıt veremeyecek hale gelmesine neden oluyor.
Bir başka deyişle, örneğin Pentagon sitesine girmek isteyen bir kullanıcı, solucan tarafından yaratılan aşırı giriş talebi nedeniyle siteye erişemiyor. Böylesi bir durumun Amazon.com gibi yüksek cirolu ticari bir sitede meydana gelmesi büyük maddi zarara neden olabilecek. Solucanın kim tarafından yazıldığı belli olmamakla birlikte, son günlerde gerilen ABD-Çin ilişkilerinin etkisiyle Çinli hacker’lar tarafından yazılmış olabileceği üzerinde duruluyor.
CA’dan Uyarı
Computer Associates, Inc. (CA), kişisel bilgisayar kullanıcılarının, 31 Temmuz’da ortaya çıkması beklenen “Code Red” solucan saldırısına karşı önlem almalarını tavsiye ediyor.
Önde gelen güvenlik kuruluşları ile ortak hareket eden CA, web sitesi yöneticilerine, sunucularını ve genel olarak Internet topluluğunu koruma konusundaki çabalarını artırmalarını tavsiye ediyor. Bunun için önerilen yol ise sağlam güvenlik politikaları adapte etmek, güvenlik boşluklarını hemen kapatmak ve CA’in eTrust Intrusion Detection ürünü gibi güvenlik kırılma durumlarını algılayan çözümleri kurmak.
CA eTrust savunma güvenlik çözümleri işletme yöneticisi Ian Hameroff konuyla ilgili olarak şunları söyledi: “Code Red, güvenliğin tek bir ürün değil, süregelen ve hiç bitmeyen, sürekli tetikte bulunmanın ve harekete geçmenin şart olduğu bir süreç olduğunu bize hatırlatıyor. ABD Ulusal Altyapı Koruma Merkezi ve diğer gruplarla işbirliğine giden CA, kendilerini Code Red türündeki tehlikeli güvenlik tehditleriyle mücadeleye adamış kuruluşları desteklemek için elinden gelen gayreti gösteriyor.”
Microsoft Windows NT 4.0 ile Internet Bilgi Sunucusu (IIS) 4.0 veya IIS 5.0 etkin bulunan ve Index Server 2.0 kurulu Internet sitesi ana sistemleri; ayrıca Windows 2000 ile IIS 4.0 veya ISS 5.0 etkin bulunan ve endeksleme hizmetleri kurulu ana sistemlere sahip olan Internet siteleri, Code Red solucanı tarafından etkilenmesi muhtemel kuruluşlar sınıfına dahil bulunuyor.
Bu kapsama dahil kuruluşların, Internet ana sistemlerini yeniden yükleyerek Code Red solucanını ortadan kaldırmaları ve IIS güvenlik boşluğunu ortadan kaldıran yazılım yamasını uygulamaları tavsiye ediliyor. Ek bilgi ve yazılım yamaları bağlantıları için: http://ca.com/virusinfo/virusalert.htm#CodeRed.