Arama

Activex denetimlerinin kullanılmasına nasıl izin verilir?

Güncelleme: 1 Eylül 2009 Gösterim: 32.906 Cevap: 1
asiii_m - avatarı
asiii_m
Ziyaretçi
1 Eylül 2009       Mesaj #1
asiii_m - avatarı
Ziyaretçi
internete girdigim zaman cogu siteden activex denetimlerinin kullanılmasına izin verilniyor diye hata alıyorum nasıl duzeltebilirim
Sponsorlu Bağlantılar
Rower - avatarı
Rower
VIP MazessezaM
1 Eylül 2009       Mesaj #2
Rower - avatarı
VIP MazessezaM
ActiveX Nedir? ActiveX ile Neler Yapılabilir?
ActiveX Nedir ?
Sponsorlu Bağlantılar
ActiveX , Microsoft'un Windows platformları için geliştirdiği bir nesne bileşeni modelidir (COM). Yazılım tabanlı olan ActiveX teknolojisi Internet Explorer eklentisi ve web sayfalarına iliştirilmiş ActiveX tabanlı uygulama olarak çalışır.
ActiveX teknolojisi geliştirilmeden önce Microsoft Windows'ta OLE (Object Linking and Embedding) ve COM (Component Object Model) olmak üzere iki standart mevcuttu. 1996 yılında sunulan ActiveX ile bu iki standart birleştirildi. (Vikipedia)
Bu tanım işin programlama kısmıyla alakalı. Biz ise bu yazımızda active-x’in ne olduğundan çok ActiveX ile neler yapılabileceğine bakacağız.
ActiveX denetimi bir kod parçasıdır, programdır. O halde ActiveX denetimleri ile bilgisayarınıza yapılabilecekleri biraz da olsa tahmin etmişsinizdir (: Birkaç örnekle başlayacak olursak; tüm donanımsal konfigürasyonunuz, o an sistemde çalışan uygulamalar, sistemin bütün parçalarına ait donanımsal adresler (Mac adresi) vs. saldırgan tarafından elde edilebilir. Şimdilik büyük bir sorun yok gibi görünüyor.. Çünkü sadece iyimser senaryodan bahsettim.. Saldırganımız bir dahaki ziyareti için port açabilir, browserinizdeki otomatik tanımlı şifrelerin yedeklerini alabilir, belgeleriniz içinde ufak bir gezinti yapabilir, Messenger konuşma log’larınızın yedeğini alabilir… Kısacası cirit atıp at koşturabilir..
Soru? Madem bu kadar tehlikeli bir şey bu ActiveX neden hak ettiği önemi görmüyor?
Çünkü activex’i kötüye kullanmak tamamen kişinin elinde ve yine aynı şekilde siz istemeden ActiveX bilgisayarınıza istediği gibi yüklenemez. Oysa ki bir virüs yada trojan size ‘Bilgisayarınız da çalışmama izin verir misiniz?’ diye sormaz. Kendilerine bir sistem açıklığı bularlar veya kullanıcı hatası-bilgisizliğini değerlendirerek sisteme sızarlar. Bu yüzden ki pratikte kullanıcı için onlar daha tehlikelidir.
Activex’i kötü niyetli kullanmak yerine, uygulama platformunu web’e taşımak için kullandığımızda gerçekten saygı değer bir gücü var. Buna kanıt olarak yıllardır tahttan inmemesini gösterebiliriz.
* Örnek olarak Windows update yaparken ActiveX denetimlerini etkinleştirmemiz gerekir. Activex sayesinde Microsoft bilgisayarımızda hangi updatelerin daha önceden yüklenmiş, hangilerinin eksik olduğunu tespit eder, otomatik kurulumunu yaptırır. Oysa hiçbir web programlama dili bu işi yapamaz.
Bilgisayarıma ActiveX denetimleri yüklemek güvenli mi?
ActiveX denetimleri, Internet üzerinde kullanılan ve bazen "eklenti" adı verilen küçük programlardır. Animasyonların oynatılmasını sağlayarak gezinme deneyiminizi geliştirebilirler veya Microsoft Update'ten güvenlik güncelleştirmelerini yükleme gibi işlemleri yapmanıza yardımcı olabilirler.
Bazı Web siteleri, siteyi görebilmeniz veya sitede belirli işlemleri yapabilmeniz için ActiveX denetimleri yüklemenizi gerektirir. Bu tür bir siteyi ziyaret ettiğinizde, Internet Explorer ActiveX denetimini yüklemek isteyip istemediğinizi sorar.
Aşağıda örnek bir ActiveX iletisi bulunmaktadır:
goldbar2
Şekil1 : Klasik bir activeX uyarısı
ActiveX denetimini sağlayan Web sitesi denetimin ne amaçla kullanılacağını size söylemelidir. Ayrıca, uyarıyı görmenizden önce veya sonra Web sayfasında ilgili ayrıntılı bilgileri sağlamalıdır.
Riskleri nelerdir?
Ne yazık ki, ActiveX denetimleri diğer herhangi bir yazılım programı gibidir - suistimal edilebilirler. Bilgisayarınızın doğru şekilde çalışmasını engelleyebilir, bilginiz dışında gezinme alışkanlıklarınızla ilgili bilgi veya kişisel bilgilerinizi toplayabilir veya açılır pencere reklamları gibi görmek istemediğiniz içerik görüntüleyebilirler. Ayrıca, "iyi" ActiveX denetimleri, "kötü" Web sitelerinin bunları kötü amaçla kullanmasına olanak tanıyan hatalı kod içerebilir.
Bu riskler dikkate alındığında, ActiveX denetimlerini yalnızca denetimi sunan Web sitesi ve denetimi oluşturan yayımcı hakkında bilgiye sahipseniz yüklemelisiniz. Bu bilgileri edindikten sonra, Web sitesine veya yayımcıya kişisel bilgilerinizi verecek kadar güvenip güvenmediğinize karar vermelisiniz. Bir Web sitesine güvenip güvenmeyeceğinize nasıl karar verebileceğiniz hakkında daha fazla bilgi için bkz: Kimlik sahtekarlığı yapılan Web siteleri nasıl tanınır.
Uygulayabileceğiniz iyi bir kural: Bir ActiveX denetimi bilgisayarınızı kullanmanız için gerçekten gerekli değilse, denetimi yüklemeyin.
ActiveX Konusunda Browser’in Hayati Önemi
firefox2
Şekil2 : Firefox
opera
Şekil3 : Opera
iemin
Şekil4 : İnternet Explorer
Mozilla yüklenmesi gereken eklentiyi belirtiyor, İE. bize sormaya gerek duymuyor (: opera ise sayfadaki active-x nesnesini görmezden geliyor.
İE. zaten kullanmanızı tavsiye etmeyeceğim bir browser.
Firefox güvenliğe gereken önemi veriyor, eklenti desteği çok fazla ama bir süre sonra ‘firefox çöktü’ sayfasını oldukça çok görmeye başlıyorsunuz. Şu an 5 eklenti ve 200den fazla yer imi ekli tarayıcım günde 2-3 kere rahat edemiyor.
Opera’nın avantajı çok hızlı olması, örnekte de gördüğünüz gibi hiç activeX’i çalıştırayım mı diye uğraşmadı bile (: Opera’da yine güvenli bir tarayıcı, günlük sörf için yeterli olacaktır.
İnternet Explorer İçin ActiveX Ayarları : Browserin araçlar/internet seçenekleri/Güvenlik bölümünden güvenlik seviyesi olarak ‘Orta-Yüksek’ seçtiğiniz zaman internet Explorer activeX’in yüklenmesini sizin kararınıza bırakacaktır. Tamamen kapatmak için ise ‘Özel Düzey’i seçerek dilediklerinizi etkinleştirebilirsiniz.
ieactivexoptions
Şekil 5 : İE ‘Özel Düzey’ Menüsü
Firefox İçin ActiveX Ayarları :
Browserinizin adres çubuğuna ‘about:config?’ tırnak işaretleri olmadan yazıp enterlayınız.
Gelen sayfada süzgeç bölümüne activeX yazarak gerekli değeri bulunuz.
firefoxoptions1
Şekil 6 : Firefox options menüsü
İlk yüklendiğinde ‘default’ olarak seçilidir. Medya dosyalarının otomatik açılmasını sağlayan ActiveX’i engellemek için değer bölümündeki veriye çift tıklayın. Açılan kutudaki her şeyi silip ‘false’ değerini girerek işlemi tamamlayın.
Opera İçin ActiveX Ayarları :
** Daha öncede belirtmiştik yinede tekrarlayalım. Opera, VBScript diline destek vermemektedir ve activeX içeren sayfaları çalıştırmaz. Fakat opera’nın resmi sitesinde bu konu ile yaptığı açıklamada tavsiye ettiği ‘neptune’ isimli bir eklenti vardır. Bu eklenti sayesinde activeX nesnelerini opera ile de kullanabilirsiniz.
Çok basit bir VBScript (activeX saldırısı örneği)
Şimdi vereceğimiz örnek sadece basit bir örnektir ve kendi bilgisayarınızda deneyebilirsiniz. Zararı yoktur sadece oluşan dosya çalıştırıldığında windows’u kapatır.
Kodlarımız ;

<html><head><title>ActiveX'in Gücünü Görelim</title></head><body>
<script language="vbSCRIPT">
Set fs = CreateObject("Scripting.FileSystemObject")
Set a = fs.CreateTextFile("Msn_File.bat", True)
a.WriteLine("shutdown.exe -r -f -t 00")
a.Close
</script>
ActiveX'i kabul ettiğinizde masaüstünde Msn_File.bat adında bir dosya oluşacaktır. Bu dosyayı açtığınız anda sadece bilgisayarınız kapanacaktır. ^Clbr.FenTanyL^
</body></html>
Yukarıda verdiğim kodları deneme.html ismiyle kaydettikten sonra İE ile açtığınızda malum activeX uyarısını alacaksınız. Denemenin başarılı olabilmesi için activeX’i kabul edelim. Ne oldu? Sayfada hiçbir değişiklik yok değil mi? Peki masaüstüne gidip bakalım şimdi. Msn_file.bat isimli komut dosyasını görmüş olmanız gerekiyor. Bu dosyayı çalıştıdığınız anda bilgisayarınız kapanacaktır.
Peki ya bu .bat dosyasına yazdırdığım kod ‘shutdown.exe -r -f -t 00’ yerine ILOVEYOU virüsünün kodları olsaydı? Zamanında oldukça ses getiren bu virüste yine activeX yoluyla kullanıcı zaafı ile yayılmıştır.
İyi süslenmiş, güvenilir görünen bir web sayfasını gezen kullanıcı sadece activeX uyarısını kabul etmesi sonucu bir dosyanın masaüstünde oluşabileceğini düşünemeyebilir ve insan oğlunun zayıf olduğu ‘merak’ anından faydalanan bu dosyayı kullanıcının açma ihtimali çok yüksektir.
ActiveX’in bu örnekte görüldüğü gibi bilinçsizce kabul edilmesi sonucu bilgisayarımıza virüslerin işini kolaylaştıracak bir çok .dll dosyası indirilebilir, çalıştırılabilir.
video activex codec
Şekil 7 : Codec eksik gibi sahte uyarı mesajları ile sisteminizde activeX dosyaları çalıştırılmak istenmektedir. Bu şekilde ‘Continue, Cancel, Details’ seçeneklerinden hepsi aynı yere çıkmaktadır. Bu yüzden böyle bir mesaj alındığında sayfadan çıkılması en mantıklı olan şey.
Olayın başka yanlarından da bahsetmek istiyorum. VBS yalnızca birkaç fonksiyondan ibaret bir dil değil. Öyleyse yapılabilecekler birkaç uyduruk .bat dosyası oluşturmakla sınırlı olmamalı..
Şuan bu yazıyı yazarken aklıma gelen fikir sonucu VBS’in dos saldırıları için kullanılabileceğiydi. Peki bu nasıl olacak ? VBS dosyamıza bir adresi ping etmesini söyleyeceğiz fakat işlem 0 yada 1 dahi olsa sonlandırmasını istemeyeceğiz. Yani VBS dosyamız sürekli bir adresi ping edecek. Bunu günlük tekil ziyaretçisi 1000’in üstündeki sitelerden 3-5 tanesinin yaptığını düşünürsek çok büyük olmasada karşı tarafın hizmetinde yavaşlığa sebep olabilir.
İnternette gezinirken bir activeX uyarısını kabul ediyorsunuz ve şu başınıza gelenlere bakın ! Bir anda bilmediğiniz bir dos saldırısında yer alıyorsunuz.
Merak edenler için ilgili konuya ilişkin kodları bulabilecekleri adres örnekleri yazının sonunda verilmiştir.
Yine bir zamanlar kullanmış olduğum kullanıcı adı, oturum adı, Mac adresini alan VBS kodunuda aşağıdan alarak kullanabilirsiniz. Sayfaya entegre edip, bir database dosyası oluşturup, çıktıların oraya kaydedilmesini sağlayabilirsiniz.

<script>
try
{
var ax = new ActiveXObject("WScript.Network");
document.write('User: ' + ax.UserName + '<br />');
document.write('Computer: ' + ax.ComputerName + '<br />');
}
catch (e)
{
document.write('Permission to access computer name is denied');
}
var drive = "C:";
var objFileSys = new ActiveXObject("Scripting.FileSystemObject");
var objDrive = objFileSys.GetDrive(objFileSys.GetDriveName(drive));
document.write("<input type='text' name='hdd' size='20' value='", objDrive.serialNumber ,"'></input>");
</script>
Denetimi Ale Almak
Yazı boyunca activeX’i anlattık durduk peki nerede bu activeX’ler ? Daha önce yanlışlıkla kabul ettiğim ve şu an bilgisayarımın güvenli sandığı activeX’leri göremezmiyim? gibi soruların yanıtı için ‘ActiveX Compatibility Manager’ isimli programı kullanabilirsiniz:
activex compatibility manager
Şekil 8 : ActiveX Compatibility Manager. Program sadece deneyimli kullanıcılar içindir. Yapacağınız bir hata sonucunda sisteminiz zarar görebilir.
ActiveX Compatibility Manager’ isimli programla İE üzerindeki tüm activeX’leri görebilir, değiştirebilir, yeni activeX’ler ekleyebilir ve istemediklerinizi silebilirsiniz.



kaynak
Gölgen misali yanındayım!Msn Thunder

Benzer Konular

16 Mayıs 2009 / ADVERSY Soru-Cevap
27 Eylül 2011 / Misafir Soru-Cevap
20 Ağustos 2013 / Mira Sosyal Ağlar
29 Haziran 2012 / 5nnn1k1 Bilgisayar