Zemana Blog

Zemana AntiLogger ,Turkcell Mobile ile Cebinizde

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Mon, 29 Jun 2009 13:33:00 +0000

Zemana Ltd. olarak, ürünümüz AntiLogger’ın tek SMS ile satın alınmasını sağlayan, Turkcell Mobil ödeme hizmetini başlatmış bulunmaktayız.

Eğer Turkcell hat kullanıyorsanız, ( kontörlü veya faturalı fark etmez ) geçici süreliğine yaptığımız kampanyamızdan faydalanarak, AntİLogger’a tek SMS ile 24 TL yerine, 12 TL / 80 kontör ödeyerek sahip olabilirsiniz.

SMS ile ödeme yapmanın faydaları:
· % 50 indirimle 24 TL yerine, 12 TL / 80 kontör
· Lisans anahtarı, anında cebinizde
· Faturalı veya kontörlü hat fark etmez
· Kredi kartı gerekmez
· Kayıt yok, abonelik yok, bekleme yok

Hemen Tıkla! SMS ile Satın Al!

Bu hizmetten sadece Turkcell faturalı ve kontörlü hat sahipleri faydalanabilir.
Ödemeniz Turkcell Mobil Ödeme ile alınacak olup Turkcell faturanıza yansıtılacaktır.
Fiyatlar, KDV ve özel iletişim vergisinden muaftır.

Değişen tehditler

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Mon, 08 Jun 2009 20:07:00 +0000

Burada okuduğum haberde AVG’den Thomson “Ana savunma hattı olan antivirüs tarayıcısının günü geçti… ancak birçok kişi bunun hala farkında değil,” diyor. AVG, sadece geçen yıl antivirüs motoruna 650 binin üzerinde imza ekledi. “Her gün 20 bin ila 30 bin arasında değişmez binary örnekleri var. Kötü niyetliler antivirusu mağlup etmesini biliyorlar.”

Virüs bulma işlemi üzerine odaklanan testlerin, anti-malware çözümünün değerlendirilmesinde tamamen yararsız olduğunu da belirtmekte fayda var. Günümüzde sunucu taraflı polimorfik malware’leri engellemek, geleneksel antivirüs motorları için imkânsız hale geldi. Zemana AntiLogger Protection, malware salgınının en erken anlarında ve her bir yeni şeklinin ortaya çıkışında korumaya geçerek sıradan antivirüs teknolojisine bütünleyici bir kalkan sağliyor.

Sunucu taraflı polimorfik malware? AV motorlarının korkulu rüyası olan bu sistem üzerine uzun bir blog yazacağım.

İş Geliştirme Uzmanı Arıyoruz

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Mon, 01 Jun 2009 15:47:00 +0000

Zemana Ltd.olarak ürünlerimizi Türkiye ile beraber tüm dünyaya pazarlamaktayız. Bu süreçte, yabancı müşterilerimizle iletişim kurabilecek ve müşterilerimize yeni müşteriler katabilecek iş geliştirme uzmanı aramaktayız. Bloğumuzu takip eden takipçilerimizin teknolojiye ve güvenlik programlarına hakim olduklarını düşünerek aşağıdaki özellikleri taşıyanların bize başvurmasını talep etmekteyiz. Cv özetlerinizi cv@zemana.com adresine gönderebilirsiniz.

Sorumluluklar:

· Potansiyel Zemana iş ortakları bulunup, onlara ürünlerimizin özelliklerini ve iş ortaklık modellerimizi ikna edici bir dille anlatılması
· iş ortaklarımıza telefon yada email yolu ile destek verilmesi
· Yurtdışı müşterilerimizle olan görüşmelerimizin koordine edilmesi
· Mevcut müşterilerimizle diyalogların geliştirilmesi
· Yeni iş fırsatlarının geliştirilmesi

Özellikler:
· Minimum 1 yıl yazılım yada donanım satış işi ile ilgili bir işte çalışmış olmak.
· İleri düzeyde iletişim ve sunum becerisi
· İleri düzeyde İngilizce konuşup-yazabilme (tercihen bir dönem Amerika veya İngiltere’de yaşamış olmak)
· Telefonda veya yüz yüze iş görüşmelerinde ileri düzey iletişim kabiliyeti
· Telefonda müşteri ve bayilerimizin cevaplarına ikna edici şekilde cevaplar verebilme
· Office programlarını çok iyi kullanabilme, özellikle PowerPoint ve Word

Eğer isterseniz, diğer iş ilanlarımıza da göz atabilirsiniz.

Intel AMT SDK 5.1

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Fri, 15 May 2009 16:37:00 +0000

Intel AMT SDK’nin yeni sürümünde “Alarm Clock Feature” adında bir teknoloji eklenmiş. Bu teknoloji zamanlanmış görevlerin bilgisayar kapalı olduğunda dahi yerine getirilmesini ve kapanmasını sağlıyor.

Örneğin, Pazartesi günü saat 9.00 da tüm kurumun bilgisayarları güncellemelerinin yapılması, antivirus taraması, backup işlemleri gibi işlemeler yapılması gerekmekte, ancak bazı çalışanlar ogün izinli olduklarında veya geç kaldıklarından bu görevleri ertelemek yerine tüm bilgisayarlar, Intel AMT teknolojisi ile tek komutla, kapalı bilgisayarlar dahil bütün işleri yerine getirmiş oluyor.
Gerçekten harika! Bu teknolojinin bireysel IS de gereksiz olduğuna inandığımız için, kurumsal AV sürümümüzde kullanmayı düşünüyoruz ve şimdiden AR-GE çalışmalarını başlattık.

Şimdilik bu teknoloji sadece masa üstü bilgisayarlar için uretilen ciplerde aktif, ancak yakın zamanda laptoplarda da aktif olacaktır.

Manageability teknolojisini gelistirenlerden Ajay Mungara'nin AMT uzerine konusmasini buradan dinliyebilirsiniz.

Eurovision, Hadise ve Zemana Anti-Webcam

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Wed, 13 May 2009 18:13:00 +0000

Karışık bir başlık gibi gözüküyor ancak anlatmaya çalışacağım.

Güzel sarkıcı Hadisenin milliyet.com.tr deki klibini izlemek isteyen bir çok AntiLogger kullanıcısı,tarafımıza Webcam logger uyarisi ile karsılaştıklarını belirten geri bildirim yaptı.

İlk basta milliyet.com.tr’ın mass sql injection saldırılarına maruz kaldığını ve infecte olduğunu düşündük. Sonrasında yaptığımız derinlemesine incelemede durumun tahmin ettiğimiz gibi olmadığını, verilen uyarının bu sitedeki bazı flash animasyonlar için verildiğini gördük.

AntiLogger’ın verdiği uyarılarda 1.etken ilgili flash animasyonları kodlayanların hatalı kodlamaları, 2.Etken Mocramedia mimarisinin zaafları ve 3.etken ise, geri bildirimleri ile WebCam koruma modülümüzü daha agresif yapmamızı telkin eden ve bu agresifliği yapmamızı sağlayan TEAkolik tir :)

İnceleme sonuçlarına dönecek olursak, AntiLogger milliyet.com tr deki ilgili flash animasyon için verilmesi gereken bir uyarı vermiş ancak bu uyarı aynı zamanda gereksiz bir uyarı olmuştur.

Milliyet.com.tr daki Flash’ın web kamerasına bağlanmak gibi bir amacı olmadığı için yanlış uyarı diyoruz, ancak ilgili Flash’, Flash player’in (Flash10b.ocx) web kamerasına bağlanmasına sebep verdiği içinde doğru uyarı diyoruz.

Action scriptte kamera objesi oluşturulduğu gibi Macromedia Flash Player, sistemde webcam olup olmadığına bakıyor ve varsa kullanıcıya soru sormadan bağlanıyor. Ancak bu obje üzerinden getCamera() dendiğinde kullanıcıya alttaki uyarıyı gösteriyor.

Durum böyle olunca aslında bu uyarıdan çok daha önce iexplore. exe içinde çalışan Flash10b.ocx componenti web kamerasına bağlantı kurmuş oluyor ve AntiLogger da bu bağlantı öncesi uyarı veriyor. Halbuki belki kamera objesi kullanılmayacak.

Bu durumda ilgili falsh’i kodlayan kişi bir yerde Kamera objesini yada bu objeyi dolaylı yoldan çağıran bir component kullandıysa bu uyarının vermesine sebebiyet verecektir.

Aslında Macromedia Flash Player bu obje oluşturulduğunda değil, bu class’a ait webcam bağlantı fonksiyonu çağrıldığında gerçekten uyarı vermeli ve uyarı doğrulanırsa webcam cihazına bağlanmalı ki bu şekilde olsa AntiLogger Flash player uyarısı onaylandıktan sonra kendi uyarısını gösterirdi.

Nedense Macromedia Player bu Camera onjesini gördüğü gibi webcam bağlantısına hazırlayıp çağrıları bekliyor. Burada Flash Player mimarisinde bir kodlama hatası var gibi görünüyor ve güvenlik riskide yaratabilir. Yakın geçmişte yine flash taki bir acık ile kullanıcı onayı istemeden hackerlar kullanıcıların web kameralarını kayıt altına almışlardı. Aynı açıktan, AntioLogger kullanıcıları, ikinci bir uyarı aldıkları için etkilenmemişlerdi.

Eğer Flash programlayıcısı iseniz ve AntiLogger, animasyonlarınızda webcam bağlantısı gerekmediği halde Webcam logger uyarısı veriyor ise Kamera object’ini kullanmaktan sakininiz.

Örneğin alttaki sitede GO butonuna basınca kameranıza bağlanıyor ve resminizi çekiyor. Doğru kodlanmış bir flash olduğunu anlıyoruz, çünkü flash açıldığı gibi AntiLogger uyarı vermiyor, sadece GO butonu basıldığında kamera bağlantısı kuruluyor ve ilk önce AntiLogger, arkasında da Flash Player uyarı veriyor.
http://www.picanom.com/

Google da Hadise diye arayıp bu postu bulanlar bu ne alaka diyeceklerdir. Bu yüzden yanlış uyarıya sebep veren Hadisenin kilibinin linkinide verelim:
http://www.milliyet.com.tr/Yasam/SonDakika.aspx?aType=SonDakika&ArticleID=1093499&Date=12.05.2009&b=Hadisenin

Sonuç olarak ne Macromedia’dan Flash Player’i nede Flash programcılarından Flash’larını istediğimiz gibi kodlamalarını isteyemeyiz. Bundan dolayı Flash Player Internals üzerine AR-GE yapip ileriki sürümlerde bu yanlış uyarıların önüne geçmeye çalışacağız.

Bu zaman zarfında güvendiğiniz sitelere onay vermelisiniz aksi halde Browser kapanır.
Ancak IE8’e yada Google Chrom’a terfi ettiyseniz ve bu eylemi engellediyseniz alttaki resimdeki gibi sadece ilgili tab kapanacaktır, çünkü bu iki browser her tab için ayrı bir process oluşturuyor ve AntiLogger’da bu process’i kill edince ana browser kapanmıyor. İlk defa chrome’un uyguladığı bu teknolojiyi simdi IE8 de uyguladı ve Mozilladan gelen habere Gorede FireFox yeni versiyonda uygulayacakmış. Bu teknoloji hakkında da ayrıca bir blog yazacağım.

Zemana Türkçe web sitesi yayında

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Wed, 06 May 2009 10:29:00 +0000

Tarayacıların sayısının artması ve farklı JavaScript ve HTML render ve motor kullanmalarından dolayı sitemizi final haline getirirken çok fazla Cross browser uyumsuzlukları yasadık.

Tüm bunlara rağmen biraz gecikerek te olsa sitemizi final haline getirdik ve Türkçe olarak ta yayına sokabildik.

Web sitemize ait gözünüze çarpan her hangi bir eksiklik veya yanlışlık var ise bize yazmanızı bekliyoruz.

Rent A Cracker

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Mon, 27 Apr 2009 11:27:00 +0000

Rent A Coder’in ne olduğunu ve ne işe yaradığını birçoğunuz duymuşsunuzdur.
İşin tanımı veriyorsunuz ve programcılar işi bitirecekleri sure/fiyat olarak ihaleye giriyorlar.

Bu freelance çalışanlar için çok güzel bir fırsat.

Ama bu yazida size Rent A Coder yerine Rent A Cracker servisinden bahsedecegim. Kısaca açıklamak gerekirse, kiralık program kırıcısı (emek hırsızı) diyebiliriz.

Birkaç sene öncesine kadar, gelen crack istekleri sadece hobi ve güç gösterisi için gerçekleştiren guruplar artan talebi fırsat bilerek, para karşılığı program kırmaya başladılar.

Çalışma tarzları şu şekilde gerçekleşmektedir; istediğiniz programın ismini veriyorsunuz size fiyat ve süre vererek programı kırıp veriyorlar. Sizde istediğiniz programa daha ucuza tam sürüm sahip oluyorsunuz

Çalışma sistemlerini tam anlamıyla öğrenmek ve ciddiyetlerini test etmek için, normal bir kullanıcı kılığında AntiLogger’ın crack edilmesi için başvurduk. AntiLogger’ın kırılması karşılığında 15 USD fiyat istediler. Pazarlık etmeyi denedik, pazarlık payı olmadığını söylediler. Devamında aşağıdaki ödeme bilgilerini gönderdiler.

>here is a payment instruction.
>Your items will be delivered in 1-2 business days after payment.

>-----------------------------------------------------
>PayPal / Credit Card Payment
>-----------------------------------------------------
>Since, we can not accept PayPal directly,
>we offer you to make a payment using one of third-party
>exchangers, which will accept your PayPal or Card and send us E-GOLD.

>hxxp://www.wwwbox.us/?account=xxxxxxx

Kendilerini olabildiğince gizlemek için direk E-GOLD veya PayPal bilgilerini vermek yerine wwwbox.us adında bir aracı kurum ile çalışıyorlar. Ödemeyi buradan E-GOLD veya PayPal olarak yapıyorsunuz.

Programımızın kırılmaması için birçok önlem almamıza rağmen “Çalışan her kod kırılır”mantığına inancımızdan dolayı, beklemeye başladık. Bir gün içerisinde bize %100 çalışan bir patch gönderdiler. Gönderdikleri patch AntiLogger’ı static olarak patch ediyordu. Bu durum, protector kullanmamızdan dolayı basta ekibe biraz garip geldi. Sebebine gelince, genelde bir cracker kolay olan yolu seçer. Protect edilmis bir programi en kolay yoldan crack etmek icin, ya memory patch yapılır yada ilk once unpack edilir daha sonra static olarak patch edilir ve işlem bitirilmiş olur.

Tahminimize göre gelen isteklere çok hızlı cevap vermek ve istenen programları bir iki hamlede kırmak için, otomasyon program geliştirmişler.

Bu otomasyon program, win32 hedef program üzerinde boş bulduğu bir bölgeye bir shell code(altta ne ise yaradığını anlatacağım) yazıyor. Packer ve protectorlerin IAT building kodunun aşağı yukarı nerede olduğunu saptıyor ve packer’in son import adresini yazmasnından hemen sonra yukarıda bahsettiğim shell koda bir jump atıyor. Shell code çalıştığında GetLocalTime, GetSystemTime ve GetLocaleInfo fonksiyonlarını inline olarak patch ediyor. Bu patch, fonksiyonların her çağrıldığında ilk patch edildiğindeki tarihi dönmesini sağlıyor. Aşağıdaki resim GetLocalTime fonksiyonun pacth edilmiş halini gösteriyor. Resimde görüldüğü gibi çok temiz bir inline patch. Eğer dikkatli bakılmazsa sanki orijinal fonksiyon gibi gozukuyor.

Hedef program tarihi öğrenmek için bu api lerden birini çağırdığı zaman herzaman geriye aynı tarih dönülüyor ve programın trial süresi hiç bitmiyor.

Sonuç olarak Rent A Cracker tarzı servisleri doğru bulmasak ta, yazılım sektörüne pozitif yönde bazı katkıları olabileceğini düşünüyoruz. Örneğin, yaptiginiz anti-crack sistemini cüzi bir fiyat ile test ettirip nerelerde zayıflıklar olduğunu bulup geliştirebilirsiniz.

Diğer bir faydası da, bu tip servislerin neredeyse istenilen programının kırılması karşılığında yarı fiyata yakın fiyatlar vermesi neticesinde, birçok kişinin cracklı programa yarı fiyatını vermektense tam fiyatla aynı programın orijinaline yönelmesini sağlar diye düşünüyoruz.

Peki, sizce bu tur servisler shareware sektörünü nasıl etkiler?

NOT: Bir sonraki sürümümüzde protector kodun bu tur otomasyon programlar ile kırılmasını engelleyip ve anti-crack sistemini geliştirip tekrar bu servise göndereceğiz. Sonrasında gelişmeleri sizlerle tekrar paylaşacağız.

MX-V CPU emulation

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Wed, 22 Apr 2009 09:18:00 +0000

Daha önceki blog postlarda AntiVirus motoru olarak neden VIPRE’yi seçtiğimizden sık sık bahsedeceğimizden söz etmiştik. Bu yazı dizisinin ilkini yayınlıyoruz.

Klasik(imza veri tabanına göre koruma yapan)güvenlik programları,hızla gelişmekte olan gelişmiş malware uygulamalarını durdurmakta yetersiz kalmaktadır.Sebebi ise,günümüz zararlıların yüksek obfuscation teknikleri kullanmalarıdır.

Bu tekniklerden akla ilk geleni Packer kullanımıdır. Bu teknik, antiviruslerin bir dosyayı analiz edebilmek için özelleştirilmiş çözme işlemleri (Static Unpackers) üretmesini gerektirmektedir.Bu durum antivirus üreticilerinin devamlı özelleştirilmiş unpackerları Virus Engine’lerinin içerisine eklemek yoluyla zaman kaybetmelerine neden olmaktadır.

Antivirus firmaları, yeni obfuscation tekniklerini bertaraf edebilecek imzaları yeterince hızlı üretemedikleri için, geçen süre içerisinde kullanıcılar yeni tehditlere karşı tamamen korunmasız kalmaktadır.

Bizim kullandığımız antivirüs motoru VIPRE, malware leri saptamak için arka planda birbirinden farklı bazı teknikler uygulamaktadır. Bu teknikler,klasik imza tespiti, heuristic ve en önemlisi de virtualized environment'tir.

Virtualized Environment (sanallaştırılmış windows ortamı), olası zararlı uygulamaları kendi üzerinde çalıştırarak test ediyor, bu sayede obfuscation edilen kod çalıştığında normal haline geliyor ve static imza karşılaştırılması yapılabiliyor. VIPRE ve sadece 2 AV tarafından desteklenen bu teknoloji sayesinde static unpacker’lar kullanılmıyor ve zararlı, bilinmeyen bir obfuscation tekniği ile tanınmaz yapılmış olsa bile yakalanıyor. Ancak bu tekniğin dezavantajı, her zararlı bir nevi kontrol altındaki sanal makinada çalıştırıldığı icin performans kaybı oluşturmaktadır. Sunbelt Software bu konuda yaptığı ar-ge ler sayesinde bu performans kaybının önüne geçen ve bu alanda dünyada ilk kez kullanılan MX-V’i teknolojisini kullanmaya başladı ve bunu basına duyurdu.

MX-V teknolojisi, VIPRE’de kurulu emülasyonun, dinamik çeviri (ikili çevirinin farklı bir formu) adıyla bilinen bir metodu kullanan uzantısıdır. Bu sayede klasik CPU emülasyonun 10 MIPS olan performans bariyerini rahatlıkla kırabilmektedir.

Dinamik çeviri, performansı 400 MIPS e kadar çıkarabilmek için programın geniş parçalarını anında tekrar derleyebilen bir teknolojidir. Vipre'nin gömülü emülasyonunda kullanılan da dinamik çeviridir. MX-V katmanı da ona malware yapısını hızla analiz edebilmesi için yeterli olan bir ilavedir .

Bizim ürettiğimiz imzalarda, MX-V kullanan VIPRE motoru üzerinde çok hızlı bir şekilde taranacaktır.

Electromagnetic Sniffing

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Mon, 20 Apr 2009 11:47:00 +0000

İsviçre Ecole Polytechnique Federale de Lausanne Enstitüsünde bulunan Güvenlik ve Kriptografi laboratuarı araştırmacıları çok ilginç bir araştırmaya imza atmışlar. Elektromanyetik dalgalar vasıtasıyla yan odadaki bilgisayarın klavyesine basılan tuşları, tamamen bağlantısız olarak havadan sniff eden, çözen ve deşifre eden bir sistem geliştirmişler. Üstelik klavyenin wireless klavye olması yada olmaması hiç fark etmiyor. Konu tamamen fiziksel tuş vuruşlarının çıkardığı manyetik dalgalarla alakalı.

Testin uygulamasını detaylıca gösteren iki ayrı video;

İlk video, oda içerisinden basit sinek anten vasıtasıyla; diğeri ise yan odanın duvarına odaklanmış büyük bir anten ile electromagnetic sniffing yapılabileceğinin açık ispatı.
Sanırım bundan sonra bankamatikten para çekerken bile anahtarlığımıza takılı bir elekromanyetik parazit jeneratörü taşımamız gerekecek..

CAPTCHA KONUSU

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Tue, 14 Apr 2009 18:18:00 +0000

Websitemizin “contact form” sayfasındaki sabit CAPTCHA koduna ilişkin epeydir olumsuz eleştiriler almaktaydık. Konuya açıklama getirme görevini bana verdikleri için kullandığımız durağan captcha mantığını kısaca açıklamak istiyorum.

Google üzerinden sitemize rastgele ulaşan akıllı (!) Spiderlar formmail üzerinden bizi epey rahatsız etmekteydiler. Hemen aklımıza dünyada en çok kullanılan yontem olan CAPTCHA yı entegre edip işimize bakmak geldi.

Fakat durum, günde 6-7 kez form-mail sayfamızı kullanan değerli ziyaretçilerimize boşu boşuna sıkıntı çıkarmak demekti, zira sitemize bir merhaba deyip geçen bu örümceklerin bize rastgele ulaştıkları ve kişisel husumetleri de olmadığı için, bizde 5 dakikada bu sabit CAPTCHA yı sayfaya entegre edip daha önemli olan işlerimize devam etmeyi uygun bulduk.

Bu sayede günde birçok kez form sayfamızı kullanan kişiler, otomatik tamamlama özelliği sayesinde gereksiz güvenlik kodu yazma zahmetine girmemiş oluyorlardi. Sitemizi rastgele tarayan spiderlar da sabit kodu geçememiş oluyorlardi.

Fakat bazı çevrelerce “siz profesyonel değil misiniz? ” tarzı söylemlerde bulunulması nedeniyle, siz değerli kullanıcılarımızın ve başka kimselerin olası yanlış anlamalarına sebebiyet vermemek için uygun bir dinamik CAPTCHA'yı sayfaya yerleştirdik.

Web sitemiz yenilendi

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Tue, 14 Apr 2009 17:10:00 +0000

Web sitemizin tasarım ve alt yapısını değiştirerek yayına soktuk. Şu an için sadece İngilizce sayfalar çalışmaktadır. Hafta sonuna kadar Türkçe sayfalarda yayına sokulacaktır.

Siz takipçilerimizden, gelecek geri beslemeler; yorum, öneri, hata bildirimi ve dizayn yönlendirmelerine çok önem veriyoruz.

Tarafımıza sizler tarafından yapılacak her türlü teklifi en ince ayrıntısına kadar değerlendirip sitemize en son halini vereceğiz. Geri bildirimlerinizi bekliyoruz.

NOT: Geçici olarak web formları çalışmayabilir bu yüzden geri bildirimleri yorum olarak yada mail ile bildirirseniz seviniriz.

AntiLogger Exper bilgisayarlarında

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Mon, 13 Apr 2009 08:26:00 +0000

Exper marka bilgisayarların sahibi Data Teknik ile yaptığımız anlaşma uyarınca 2009 yılı Nisan ayından itibaren, üretilen tüm masa üstü ve diz üstü Exper marka bilgisayarlarda Zemana AntiLogger kurulu olarak kullanıcılara sunulmaya başlanmıştır.

İlgilenenler daha geniş bilgiye Exper bilgisayarın resmi web sitesinden ulaşabilirler.
http://www.exper.com.tr

Zemana AntiLogger Brighthub’da

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Wed, 01 Apr 2009 13:27:00 +0000

Dünyaca ünlü BRIGHT HUP sitesi ürünümüz AntiLogger hakkında bir inceleme yazısı yayınladı.

Ürünümüzün incelemesini yapan kişinin Tolga Balcı adlı bir Türk’ün olması bizi daha da çok gururlandırdı. Umarız çok yakında bu tür teknolojik içerikli, dünyanın her tarafındaki büyük kuruluş ve şirketlerdeki Türk sayısı artar.

İnceleme yazısının en çarpıcı cümlesi ise şu idi: "Zemana AntiLogger 5 yerine 6 puanı hak ediyor, ancak puanlama sistemimize göre en yüksek puan 5 olduğu için 6 veremiyorum."

İnceleme yazısının hepsini aşağıdaki linkten okuyabilirsiniz.
http://www.brighthub.com/computing/smb-security/reviews/29144.aspx

Olumlu yazısı için Tolga Balcı'ya tekrar tekrar teşekkür ederiz.

TrialPay ile Zemana AntiLogger’ı 1 yıl ücretsiz kullanın

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Wed, 01 Apr 2009 13:09:00 +0000

TrialPay sayesinde Zemana Antilogger`ın ÜCRETSİZ lisanslı full versiyonuna hemen sahip olabilirsiniz!

Ücretsiz AntiLogger’a nasıl sahip olurum?
1.TrialPay ortağı servislerden birisine üye olun
2.TrialPay tarafından sunulan ürünlerden birini alın.
3.Zemana AntiLogger`ın a ücretsiz 1 yıllık lisansına sahip olursunuz..

TrialPay’da ne tür içerikler var ve fiyatları nedir?
TrialPay, içerisinde kaliteli alışveriş siteleri, online müzik ve hatta çocuklara özel siteleri kapsayan binlerce içerik sunar.
Bir kredi kartı ile üye oluyorsunuz. Sonrasında indirimli otomobiller, makyaj malzemeleri, ev eşyaları, kitaplar, oyuncaklar, herhangi bir hizmetin ücretsiz deneme üyelikleri ve çok çok daha fazlasını sahip olabiliyorsunuz.

İçerikler yaşadığınız ülkeye göre değişebilmektedir. Şu anda ABD için dünyanın diğer bölgelerine oranla önemli ölçüde daha fazla içerik bulunmaktatır. İçerik sayısı her ülkede hızla artmaktadır.

AntiLogger’ı ne zaman kullanmaya başlayabilirim?
TrialPay da alışveriş yaparken ücretsiz promosyon olarak AntiLogger’ı seçtiyseniz, alış verişinizi bitirdikten sonra TrialPay size e-posta ile bir lisans anahtarı gönderir. Yazılımı web sitemizden hemen indirip gönderilen lisans anahtarı ile lisanslayabilirsiniz.

Destek:
TrialPay kendi platformundaki her işlemin neticesini garanti eder, bu sebeple de herhangi bir problem yaşarsanız lütfen bizimle (ya da kendileriyle) iletişime geçiniz.

Sizde yazılım üreticisi iseniz TrialPay'a buradan üye olabilirsiniz.

Zemana AntiLogger giveawayoftheday.com’da

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Thu, 05 Mar 2009 15:23:00 +0000

Dünyaca ünlü software promosyon sitesi Giveawayoftheday 05.03.2009 tarihinde 24 saatliğine programımızı kullanıcılarına ücretsiz dağıtıyor.

Giveawayoftheday takipçileri programımızı 24 saat içerisinde indirip 1 yıllığına lisanslayabiliyorlar.

Programımıza gösterilen talep tahminlerimizin çok fazla üzerinde gerçekleşiyor. Buradan forumlarda sadece Türk yapımı olduğumuz için programımızı ve firmamızı acımasızca eleştirenlere karşı müspet yorumları ile bizi destekleyen Türk kullanıcılarına teşekkür ederiz.

AntiVirus değerlendirmeleri

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Sat, 28 Feb 2009 11:38:00 +0000

Güvenlik forumlarında çok geçen değerlendirmelerden birisi şudur; “X marka anti virüs ile bilgisayarımı tarattım bir şey bulamadı, ancak Y marka anti virüs ile taratınca 2 tane zararlı buldu. “ Bu değerlendirmeden yola çıkılarak anti virüs şirketlerinin iyi yada kötü ayrımı yapılmak istenir. Gerçekte yukarıda yazılan değerlendirme ile anti virüs şirketleri iyi ya da kötü olduğu iddia edilemez. Bir anti virüsün iyi veya kötü olduğunu söyleyebilmek için aşağıdakilere bakmak gerekmektedir.

1- Sistemde çalışan anti virüs’ün kullandığı memory alanının boyutu,
2- Virüs imza veri tabanının çok büyük olması değil, nitelikli olup olmadığı,
3- Sistemi tarama hızı ve zararlıları sistemden silme başarısı,
4- Gerçek zamanlı savunma modüllerinin olup olmadığı,
5- Her şeyden önemlisi bilgi hırsızlığına karşı savunma yapıp yapmadığı,

Yukarıda ki kıstaslar çoğaltılabilir, ancak en önemlilerini not etmeye çalıştık. Antivirüs seçiminde sıraladığımız ve benzeri kriterleri göz önüne almalısınız.

Zemana AntiLogger Raymond Blog’da

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Mon, 23 Feb 2009 13:03:00 +0000

Teknoloji meraklılarının takip ettiği ve dünyaca ünlü Raymond blog editöru, Zemana AntiLogger’ı inceleyerek çok olumlu tespitlere yer verdi. Dünyaca ünlü bir bloğun bize yer vermiş olması yaptığımız işin ne kadar değerli olduğunu bir daha hatırlamamıza ve daha iyi teknolojiler üretmemiz için motive olmamıza vesile oldu. Orijinal link aşağıdadır inceleyebilirsiniz.

http://www.raymond.cc/blog/archives/2009/02/23/impressive-zemana-antilogger-proactive-protection-free-1-year-license/

Sanal Dilencilik

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Fri, 13 Feb 2009 12:36:00 +0000

Son dönemde internetin gücünü keşfeden bazı uyanıklar gerçek dünyada olduğu gibi internet ortamında da türlü yalanlarla insanlardan para koparmaya çalışmakta. Olmamış olaylar sanki olmuş gibi yazılmakta, ekte vereceğimiz örnekte olduğu gibi maili yazan kişi hiçbir zaman firmanızda çalışmamış biri olarak çalıştığını söylemekte ve bir an olsun sizi düşünmeye sevk etmekte ve arkasından duygu sömürüsü ile de olay taçlandırılmakta.

Böylece acıyarak bu kişiyi hiç tanımadığınız halde, en azından hikayesinin duygu sömürüsü bölümüne istinaden para göndermenizi sağlamaya çalışıyorlar. Kullanıcıların bu tür olaylara dikkat edip prim vermemelerini bundan da öte para hiç vermemelerini öneriyoruz. Aşağıda bahsettiğim konuyla alakalı birkaç gün önce Genel Koordinatörümüz Orhan Akyürek’in dikkatine yazılan e-mali sizlerle paylaşıyoruz.

Kullanıcı dostu Windows 7

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Fri, 06 Feb 2009 12:13:00 +0000

Bir süre önce bloğumuzda ürünümüz AntiLogger’ın Microsoft tarafından Windows 7 uyumluluk testlerine tabi tutulduğu duyurmuştuk. Test sürecinde Windows 7’nin, rahat kullanım ve performansa yönelik çok ciddi çalışmalar yaptığını gördük. Tüm uygulamalar kullanıcıyı rahat ettirmeye yönelik yapılmış.

Örnek verecek olursak, AntiLogger 1.1.2.416 versiyonda bazı hatalar çıkmıştı ve bu hataları düzeltmiştik. Buna rağmen Windows 7’de AntiLogger’ın 1.1.2.416 nolu versiyonunu kurmaya çalışılırsa, Windows 7 bu versiyon yerine son versiyonun kurulması için kullanıcıyı resimde görüldüğü gibi uyararak son versiyonun bulunduğu linke yönlendirecek.

Böylece kullanıcı zorlanmadan en son versiyonu kurmuş olacak. Bu ve benzeri birçok kullanıcı dostu uygulamaları bünyesinde barındıran Windows 7’yi şimdiden tebrik ediyoruz.

AntiLogger 1.7.2.960 ve Webcam koruma modulu

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Wed, 04 Feb 2009 14:48:00 +0000

Geçenlerde TEAkolik arkadaşımız, AntiLogger daki bir açık sayesinde Flash Player’in koruma modülümüze (Anti WebCam Logger) yakalanmadan Web kameralarından görüntü alabildiğini bildirdi.

Yaptığımız incelemelerde bu durumu doğruladı. Son sürümümüzde bu açığı kapattık. Açığı tespit eden TEAkolik’e çok teşekkür ederiz.

Kendisi bu konu ve mentos hakkında bir blog yazacaktı, ancak açığın kapatılmış sürümünü bekliyordu. Konu ile ilgili blog yazdığında konuyu güncelleyip link vereceğim.

Otomatik güncellemeleri kapalı olanların acilen yeni sürüme geçmelerini öneriyorum.

Guncelleme (Thursday, February 5, 2009 at 19:44:30):

http://www.teakolik.com/zemana-webcam-logger-win-7-bug/

DoctusOnar ile Virus Temizligi

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Wed, 04 Feb 2009 14:31:00 +0000

Bu yazımda Doctus güvenlik platformunda bir gurup programcının ücretsiz hazırladığı system onarma ve virüs temizleme aracı olan DoctusOnar’dan bahsetmek istiyorum.

Doctus, Doctus HijackThis Takımına gelen raporlarla güncelledikleri küçük bir veri tabanını program ile ayni dizine koyduktan sonra hızlı bir şekilde tarama yapıp belirlenen zararlıları silebiliyor.

Anladığım kadarı ile program beta yayınında, bu yüzden programı sadece test bilgisayarınızda denemenizi tavsiye ederim. Nedeni ise programın backup yada quarantine gibi bir opsiyonu olmadığından yanlışlıkla verilerinizi silebilir. Test bilgisayarımda yaptığım testler sırasında zararlı dosyaları basarı ile silmesinin yanında malesef WinPcap’a ait olan bütün system dosyalarınıda sildi.

Turkojan ve Prorat gibi Türk yapımı trojanlar üzerinde yaptığım testlerde ise başarısız oldu. Gelecek sürümlerde bu ve benzeri hataların düzeltilip, İngilizce ve Türkçe dil seçenekleri ile kullanıcıların hizmetine sunulmasını temenni ediyorum.

Türkiye’de çok az karşılaştığımız bu tip projeler ile karşılaşınca hoşumuza gidiyor. Bu durumdan dolayı siz takipçilerimizle paylaşmak istedim. Programda emeği geçen herkesi tebrik ederim.

Bu doğrultuda güvenlik dalında bu tip bir çok projeye önderlik ettiği için Doctus ekibine ayrıca teşekkür ederim. Doctus çalışmalarının, diğer güvenlik portallarına örnek olmasını diliyorum. Örneğin Rus güvenlik platformlarında mbr rootkit nasıl temizlenir gibi konular işlenirken Türkiye’de güvenlik platformu adı altında yayın yapanlar, güvenlik nasıl sağlanırdan ziyade, mail ve site nasıl hacklenir, trojan nasıl kullanılır vs. gibi komik konular işliyor.

Download:

DoctusOnar v1.4.2, Veritabani

Fake AntiVirus 2009

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Tue, 27 Jan 2009 10:59:00 +0000

Geçenlerde bir arkadaşım bilgisayarında 1500 adet virüs olduğunu söyleyerek uzaktan bağlanıp sistemini kontrol etmemi istedi. Sisteme bağlanıp sistemde yüklü orijinal antivirus’un kayıtlarına baktığımda hiçbirsey göremedim. Bağlanmamdan bir süre sonra trayda bir uyarı belirdi ve üzerine basınca AntiVirus 2009 isimli sözde AntiVirus programı sistemi taramaya başladı ve tam 1500 tane virüsü buldu.

Son zamanlarda tarayıcılar tarafından üretilen fake mesajlar yada resimlerin %60’a yakın kullanıcıyı etkilediği ve ilgili yönergeleri takip ettirip zararlı yazılımı kurdurduklarını okuyordum ve bu orana inanmak istemiyordum. Ancak bu olay yazılanları doğrular nitelikteydi. Çünkü ilgili kullanıcı arkadaşım bilgisayara uzak birisi olmamasına rağmen etkilenmişti.

Tarayıcı yukarda görüldüğü gibi öyle bir resim gosteriyorki sanki local sürücülerinizi görüyorsunuz ve yanında bir tarama işlemi başlıyor. Kısacası çok güzel dizayn edilmiş ve inandırıcılığı yüksek bulduğum bu durum arkadaşım gibi büyük bir kullanıcı kitlesini etkileyebilir.

Söz konusu zararlıyı sistemde yüklü AntiVirus programı farkedememis hatta virustotal ile tarattığımda Microsoft OneCare disinda hicbiri bulamadı.

Eğer kullanıcı AntiLogger kullansaydı bundan etkilenebilir miydi?
İlgili zararlı bilgi hırsızlığı eylemlerinden hiçbirini yapmadığı halde bilgisayar her başladığında başlayabilmek için kayıt defterine bazı girdiler yazacaktı ve AntiLogger System Defense modülü tarafından yakalanacak ve engellenecekti. Sonucta kullanıcı bilgisayarı yeniden başlattığında zararlıdan kurtulmuş olacaktı.

Buda bize tekrar gosteriyorki kur ve unut güvenlik programları gerçekten unutuyor. Gerçek bir koruma için proactive korumaya her zaman ihtiyacımız vardır ve kullanmamız gerekmektedir .

Anti-UltraSurf

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Mon, 26 Jan 2009 15:17:00 +0000

Anti-UltraSurf 1.0.1.32 -Beta
Copyright © 2009 Zemana Ltd. All rights reserved.

Warning:
This is a BETA product. Do not install it on a production

Supported platforms:
Windows Server/Workstation 2000
Windows XP/2003/Vista

Installation:
The setup is MSI Software Installation file and you can use Active Directory in Windows 2000 and Windows 2003 to configure the group policy applied to a domain, so that Anti-UltraSurf is automatically deployed to all Windows NT/2000/XP/2003/Vista computers that join the domain.

Home users please note that you must be logged-in as "Administrator" or as a user with administrative rights in order to install or run Zemana UltraSurf – Beta.

Background:
UltraSurf is a hard one to block at ISP level because it uses a peer-to-peer technology and several obfuscation techniques, making it challenging for network operators to identify associated traffic. UltraSurf encrypts data transmitted over the Internet between peers and is particularly gifted when it comes to circumvent security limitations. Entering via uncommon channels like https (Web SSL) port, UltraSurf is usually very successful at passing corporate firewalls/proxy servers and content filters. Furthermore, UltraSurf designers are making the software even more furtive at every new version.

Anti-UltraSurf uses heuristic analysis to identify and block UltraSurf’s traffic rather than relying on hash signatures.
Anti-UltraSurf can block traffic generated by all orginal and modified versions of UltraSurf with zero false positive.

Download:
http://download.zemana.com/Products/Anti-UltraSurf/Anti-UltraSurf_1.0.1.32.msi

Feedback:
Please report any issues and bugs via the Zemana Beta Portal.
English: http://www.zemana.com/list/list.aspx?ktgr_id=430
Turkish: http://www.zemana.com/list/list.aspx?ktgr_id=430&dil=5

Any feedback is very much appreciated.

UltraSurf Proxy Analizi

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Mon, 19 Jan 2009 13:29:00 +0000

Bazı IT yöneticileri UltraSurf Proxy programını, kurumsal bilgisayar ağlarında kullandıkları firewall veya local policyler ile engelleyemediklerini söylediler ve programı inceleyip çözüm önerilerimizi rica ettiler. Bizde programı inceledik.

Programı incelediğimizde gerçektende dahice hazırlanmış bir Proxy programı olduğunu gördük.

Program local 9666 portunda http/https Proxy kuruyor ve IE Proxy ayarlarinida 127.0.0.1:9666 olarak ayarlıyor, devamında internete https(443) portu üzerinden çıkış yapıyor.

Muhtemelen UltraSurf ile karsılaşmamış ve yazımızı okuyan bilişimcilerin aklına hemen birçok engelleme yöntemi gelmiş ve bunun neresi zor demişlerdir.

Muhtemelen ilk akıllarına gelen ilk iki engelleme yöntemi şunlardır.

1- XP Workstation’larda kısıtlı kullanıcılar 9666 portunu dahili XP firewall sayesinde açamayacaktır.
2- Bağlantı türünün https olduğundan dolayı, content tabanlı web filtre ile blok oluşturulamasa da programın çıkış yaptığı IP adresleri corporate firewall da engellenir.

Ancak üstteki metotlar ise yaramayacaktır. Çünkü:

Program çalışmaya başladığı anda XP firewall alarm penceresini takip ediyor ve ilgili port’u açtığında, Firewall’in alttaki resimde görülen ve çıkarması gereken uyarıyı gizliyor.

Aslında burada uyarı penceresini gizlemek ile firewall’in engellemesine bir engel oluşturmuyor tabi, amaç sadece kullanıcıyı korkutmamak. XP SP2 dahili firewall bu portu gerçekten engelliyor ancak localhostta değil. Localhostta engellememesinin sebebi socket’leri IPC (Inter Process Communication) icin kullanabilcek programlar ile uyumluluğu bozmamak için olduğunu düşünüyoruz. Bizde yazmakta olduğumuz firewall de varsayılan olarak port engellendiğinde localhost için engellemiyoruz. Bu durumun güvenlik riski olusturmadigini düşünüyoruz.

Nitekim UltraSurf 'ta 9666 portunu sadece localhost ta Internet Explorer ile iletişimde kullandığı için bu blok engeline takılmıyor.

Internet’e çıkmak için kullandığı 443 portuna gelecek olursak; bu port SSL’in http üzerinde kullanıldığı https portu, çok büyük white list’ler oluşturulmadığı surece engellenmesi mümkün değildir.

Bağlandığı hedef sunuculara gelirsek, bizim testlerimizde 1500’e yakin dinamik ip adreslerine sahip sunuculara bağlandığını gördük. Bu durum sunucuları blacklist etmemizi engelledi.

Programı lokalde hash tabanlı engellemekte mümkün olmamış nedeni ise programı kullananlar her seferinde programın hash değerini değiştirmişler. Zaten buda çok basit bir işlem.

Programı dahada derinlemesine analiz ettiğimizde, 443(https) portunu kullandığı halde aslında SSL bağlantısı kurmadığını sadece gerek port gerek network header larda SSL protokolünü taklit ettiğini gördük. Bizi en çok şaşırtan durum ise wireshark analiz programını dahi SSL bağlantısı olarak yanıltması oldu.

SSL olmasa da, SCSI IOCTL_STORAGE_QUERY_PROPERTY metodunu kullanarak aldığı HDD seri numarasından cryption key oluşturuyor ve veriyi bu anahtar ile şifreliyordu. Bu sayede her bilgisayarda oluşturduğu şifreleme ve network trafiği eşsiz oluyordu.

Programdaki kandırmaca sadece bununla sınırlı değildi. Programın kurduğu birçok https bağlantısından %90’i fake idi asıl bağlantıyı, çoğunluğu Taiwan üzerinde olan nmap’in Windows olarak bildirdiği sunucu, zombi veya gönüllü veya P2P node lardan aliyordu.

Bahsi geçen sunucular üzerinde fake http,ftp sunucular çalışıyormuş gibi gözüküyordu. Bize göre bunun nedeni ise ana firewall tarafından akıllı kural oluşturabilmenin güçleştirilmek istenmesidir.

Sonuç:

Programın hiç bir zararlı içermemesi, kullanıcı sayısı ve kullanıcı kitlesine bakarak üreticilerinin botnet ler kullandığı olasılığının zayıf olduğunu düşünüyoruz.

IP adreslerinin ülke bazında yoğunlaştığına ve programın gizlice olsada sunucu olarak çalışmamasını da göz önünde bulundurarak P2P sistemi üzerine kurulu sunucularda diyemiyoruz.

Adreslerin dinamik olusu ve üzerinde fake serverlar barındırma ihtimalide kiralık sunucular olmadığı anlamına geliyor.

Tahminimiz gönüllü (üniversite, dernek vs.) bir gruba ait bilgisayarlar sunucu olarak kullanılmıştır.

Windows XP ve Vista client ler üzerinde kurulduğunda bu programı hash imza kullanmadan sezgisel olarak tespit edip engelleyebilecek bir program yazdık ve bize başvuran IT yöneticilerine verdik. Sonuçtan çok memnun kaldılar. IT yöneticileri içerisinde bu program ile başı dertte olan varsa bize yazabilirler.

Intel® Core™2 Duo için optimize edilmiş AntiLogger

erkan.arnaudov@zemana.com (Erkan Arnaudov) — Sat, 17 Jan 2009 16:33:00 +0000

Bir gün geç olsada Intel® Core™2 Duo işlemciler için optimize edilmiş Zemana AntiLogger'in yeni sürümünü buradan indirebilirsiniz.