Bazı IT yöneticileri UltraSurf Proxy programını, kurumsal bilgisayar ağlarında kullandıkları firewall veya local policyler ile engelleyemediklerini söylediler ve programı inceleyip çözüm önerilerimizi rica ettiler. Bizde programı inceledik.Programı incelediğimizde gerçektende dahice hazırlanmış bir Proxy programı olduğunu gördük.
Program local 9666 portunda http/https Proxy kuruyor ve IE Proxy ayarlarinida 127.0.0.1:9666 olarak ayarlıyor, devamında internete https(443) portu üzerinden çıkış yapıyor.
Muhtemelen UltraSurf ile karsılaşmamış ve yazımızı okuyan bilişimcilerin aklına hemen birçok engelleme yöntemi gelmiş ve bunun neresi zor demişlerdir.
Muhtemelen ilk akıllarına gelen ilk iki engelleme yöntemi şunlardır.
1- XP Workstation’larda kısıtlı kullanıcılar 9666 portunu dahili XP firewall sayesinde açamayacaktır.
2- Bağlantı türünün https olduğundan dolayı, content tabanlı web filtre ile blok oluşturulamasa da programın çıkış yaptığı IP adresleri corporate firewall da engellenir.
Ancak üstteki metotlar ise yaramayacaktır. Çünkü:
Program çalışmaya başladığı anda XP firewall alarm penceresini takip ediyor ve ilgili port’u açtığında, Firewall’in alttaki resimde görülen ve çıkarması gereken uyarıyı gizliyor.
Aslında burada uyarı penceresini gizlemek ile firewall’in engellemesine bir engel oluşturmuyor tabi, amaç sadece kullanıcıyı korkutmamak. XP SP2 dahili firewall bu portu gerçekten engelliyor ancak localhostta değil. Localhostta engellememesinin sebebi socket’leri IPC (Inter Process Communication) icin kullanabilcek programlar ile uyumluluğu bozmamak için olduğunu düşünüyoruz. Bizde yazmakta olduğumuz firewall de varsayılan olarak port engellendiğinde localhost için engellemiyoruz. Bu durumun güvenlik riski olusturmadigini düşünüyoruz.
Nitekim UltraSurf 'ta 9666 portunu sadece localhost ta Internet Explorer ile iletişimde kullandığı için bu blok engeline takılmıyor.
Internet’e çıkmak için kullandığı 443 portuna gelecek olursak; bu port SSL’in http üzerinde kullanıldığı https portu, çok büyük white list’ler oluşturulmadığı surece engellenmesi mümkün değildir.
Bağlandığı hedef sunuculara gelirsek, bizim testlerimizde 1500’e yakin dinamik ip adreslerine sahip sunuculara bağlandığını gördük. Bu durum sunucuları blacklist etmemizi engelledi.
Programı lokalde hash tabanlı engellemekte mümkün olmamış nedeni ise programı kullananlar her seferinde programın hash değerini değiştirmişler. Zaten buda çok basit bir işlem.
Programı dahada derinlemesine analiz ettiğimizde, 443(https) portunu kullandığı halde aslında SSL bağlantısı kurmadığını sadece gerek port gerek network header larda SSL protokolünü taklit ettiğini gördük. Bizi en çok şaşırtan durum ise wireshark analiz programını dahi SSL bağlantısı olarak yanıltması oldu.
SSL olmasa da, SCSI IOCTL_STORAGE_QUERY_PROPERTY metodunu kullanarak aldığı HDD seri numarasından cryption key oluşturuyor ve veriyi bu anahtar ile şifreliyordu. Bu sayede her bilgisayarda oluşturduğu şifreleme ve network trafiği eşsiz oluyordu.
Programdaki kandırmaca sadece bununla sınırlı değildi. Programın kurduğu birçok https bağlantısından %90’i fake idi asıl bağlantıyı, çoğunluğu Taiwan üzerinde olan nmap’in Windows olarak bildirdiği sunucu, zombi veya gönüllü veya P2P node lardan aliyordu.
Bahsi geçen sunucular üzerinde fake http,ftp sunucular çalışıyormuş gibi gözüküyordu. Bize göre bunun nedeni ise ana firewall tarafından akıllı kural oluşturabilmenin güçleştirilmek istenmesidir.
Sonuç:
Programın hiç bir zararlı içermemesi, kullanıcı sayısı ve kullanıcı kitlesine bakarak üreticilerinin botnet ler kullandığı olasılığının zayıf olduğunu düşünüyoruz.
IP adreslerinin ülke bazında yoğunlaştığına ve programın gizlice olsada sunucu olarak çalışmamasını da göz önünde bulundurarak P2P sistemi üzerine kurulu sunucularda diyemiyoruz.
Adreslerin dinamik olusu ve üzerinde fake serverlar barındırma ihtimalide kiralık sunucular olmadığı anlamına geliyor.
Tahminimiz gönüllü (üniversite, dernek vs.) bir gruba ait bilgisayarlar sunucu olarak kullanılmıştır.
Windows XP ve Vista client ler üzerinde kurulduğunda bu programı hash imza kullanmadan sezgisel olarak tespit edip engelleyebilecek bir program yazdık ve bize başvuran IT yöneticilerine verdik. Sonuçtan çok memnun kaldılar. IT yöneticileri içerisinde bu program ile başı dertte olan varsa bize yazabilirler.
