Casus Yazılım: Düşmanını Tanı Tanıtım Belgesi. Mark Sunner, Baş Teknoloji Yöneticisi

Transkript

1 Casus Yazılım: Düşmanını Tanı Tanıtım Belgesi Mark Sunner, Baş Teknoloji Yöneticisi

2 İçindekiler Giriş 3 Casus Yazilimların Tarihçesi 3 Bugünkü Casus Yazılımlar 4 Birleşme ve hedefli saldırılar 5 Microsoft ve Casus Yazılımlar 7 Casus Programlara Çareler 10 2

3 Casus yazılımlar günümüzdeki birçok suçun sorumlusu tutulabilir. Giriş Casus yazılımlar, tıpkı T. S. Elliot'un meşhur şiirindeki hayali kedi Macavity gibi, günümüzdeki birçok suçun sorumlusu tutulabilir. Ancak, her casus yazılım esrarengiz kedi gibi arkasında iz bırakmadan ve suçluluk duymadan suç işleyebilecek kadar zeki değildir - fakat bu durum çoktan değişmektedir. Bu tanıtım belgesi casus yazılımları ayrımlar ve kuruluşlara casus yazılımların tehditlerine karşı çıkmanın değişik yollarını belirtir. Casus Yazilimların Tarihçesi Öncelikle, tarih olarak, casus yazılımlarının nereye doğru ilerlediğini, daha ünemlisi, nereden geliştiğini daha yakından anlıyabılmek için takvimimizi ilk düşündüğümüzden çok daha geriye almamız gerekiyor: On beş yıldan daha geriye. Antivirüs piyasasının doğum aşamalarına bakacak olursak, yaklaşık on altı yıl önce önyükleme kesimi virüsleri vardı. Bugün bildiğimiz virüsler, ticari olarak tutarlı, veya düşünsel varlık hırsızı halini alması, birçok kişi farkına varmasa da, bu kadar zamanda gerçekleşti. Yani sadece son birkaç yılda virüsler esasen zarar verici olmaktan uzaklaşıp, ticari kazanç aracı halini aldı. Bu durum ciddi olarak sadece son dört yıl içerisinde başladı. Bu geçişin tam olarak zamanını, tam olarak ticari kazanç amaçlı ilk virüs olan Sobig.A cinsinin Ocak 2003'teki çıkışı ile belirtebiliriz. Bu zamandan beri birçok değişiklikler oldu, virüs yaratanların kişilik tarzi da önemli ölçüde değişti. Bu virüsten sadece birkaç yıl önce, 2000 yılında Melissa ve LoveBug virüsleri salınmıştı. O yıllarda virüsleri çoğunlukla zarar vermek ya da kendi çevrelerinde isim yapmak amacıyla yaratırdı. Sobig'in gelişi ile tamamen değişik bir insan tarzı görüyoruz virüsleri zarar vermek amacıyla değilde, ticari kazaç amaçlı yaratan kişilar. Virüsler 2003 yılının geri kalanında da gelişmeye devam etti yılındaki bazı salgınlar büyük ölçüde aksamalara neden oldu, virüs programlayanların, Sobig.F, MyDoom.A, ve NetSky Bagle vs. 'bot wars' gibi olaylara tanık olmasıyla, teknoloji ile ilgili bilgileri arttı. Bütün bu olaylar kendilerini dünya çapında aşıp, çok sayıda virüs girmiş bilgisayarı etkilemesi ve bu bilgisayarlardan bilgi toplaması sonucunda, radarlarda kolayca görünen bir nokta halini aldı. Şüphesiz, virüs yazarlarının gözünde çok fazla başarılı olmuştu çünkü, radarlarda çok büyük bir nokta halini almıştı. Bütün güvenlik toplumu bu virüslerin dolaşımının farkındaydı, sağlayıcılar yama çıkarmak için yarışıyor, medya kaynakları onlara daha fazla oksijen veriyordu ve böylece evdeki ve kurumsal kullanıcıların bilinç seviyesi yüksekti. İnsanlar tehditlere daha çabuk karşılık veriyor ve bilgisayarlarını daha dikkatli ve sıklıkla güncelliyordu boyunca, fail kişiler robot programlarını daha kalabilmeleri amacıyla biraz daha yavaşlattı. Görünürde robot programların boyutları küçüldü, ancak sayıları coğaldı. Truva atları gibi kötücül yazılımlar Microsoft@ Word dokümanları ve benzerlerinin içinde saklandı. Ayrıca saldırılarında radarın altından kalabilmek için sosyal mühendislik metodlarını daha çok kullandılar. Şu ana kadar bahsedilen tüm temel virüsler hakkında idi, casus yazılım konusuna baktığımız zaman dikkate almamız gereken çok önemli bir unsur var. Bugün bildigimiz casus yazılımlar nispenen yenidir, sadece son üç dört senedir bizimle. 3

4 Yaklaşık dört sene önce bağlamsal pencerelerin sosyal mühendislik amacıyla kullanılması alışıldık oldu. Örneğin, bir Browser Helper Object (BHO) yazılımının İnternet Explorer'a yüklenmesi ile örün tarayıcısının erişetiği her bilgiye sahip olabiliyor. Varsayalım bir kurban internetten örün tarayıcısı yardımı ile otobobil bakıyor, BHO otomobil reklamı içerer bir bağlamsal pencere açabilir. Bu daha önceden hiç karşılaşılmamış bir durumdu, ve şimdi internetin normal bir şekilde kullanılması ile, bir düğmenin tıklanmasıyla arka planda kurbanın bilgisayarına yazılım yükleyebilir. Sosyal mühendislik bağlamsal pencerelerin diğer pencere ve uygulamaları aldatmak için bir yol hazırlamasını da içerir Örneğin bir tamam düğmesi, veya kullanıcının bir e-posta aldığını belirten okumak için tıklayın tarzı bir mesaj karşısına çıkabilir. Yasallık kazanması için reklam destekli bilgisayar yazılımı (adware) olarak da bilinen casus yazılımlar (spyware) artık kullanacının örün tarayıcısını ele geçirebiliyor ve kullanıcının internetteki aktivitelerini gözleyebilen her çeşit istenmeyen programı yükleyebiliyor. Bu demek oluyor ki casus yazılım kullanıcının gezi alışkanlıklarına göre reklamlar gösterebiliyor. Bağlamsal pencereler kendisine kurban olan herkes için büyük dert oldu, ve sorun yazılım yayıldıkça kaldırılması çok daha zor duruma geldi. Bugünkü Casus Yazılımlar Bütün bunların son birkaç yılda oluştuğunu göz önüne alacak olursak, casus yazılımlar çok kısa bir zaman aralığında hızlı bir şekilde evrim geçirdi. Gelişmemiş haldeki casus programlar günümüzde halen mevcut, ancak daha fırsatçı şekilde gelişmiş casus programlar son derece gizli şekilde mevcuttur. Çağdaş casus yazılımlar birkaç öğeden oluşmakla birlikte, kendilerini Windows ortamına kolayca yerleştirirler. Sadece bir öğesini kaldırmak yetmez, yazılım otomatik olarak baştan savma silme çabalarından kolayca kurtulur. Geleneksel anti-virüs programlarının casus yazılımlara karşı etkisiz kaldığı belirginleşince uzman casus yazılım karşıtı (anti-spyware) yazılımlara ihtiyaç ortaya çıktı. Şimdi yeni bir savaş meydanı ortaya çıktı ve çizgiler şimdiden çiziliyor. Şekil 1: Ekim 2006 MessageLabs İstihbarat Raporuna göre Web tehditleri Bunu casus programların kendisinden türeyerek oluştuğu virüs ortamı ile karşılaştıralım. İlk bağlamsal pencereler ilk bilgisayar virüslerine benzer ve de çoğunlukla zararsız bir sıkıntıdan daha fazla bir şey değildi. Virüsler onaltı yılda ancak ticari hal aldı ve daha saldırgan bir hal aldı. Benzer şekilde, casus yazılımların gelişim süreci üç yıldan az sürdü. Bu çok endişe verici bir durum çünkü bu zaman birimi güvenlik toplumunun alışageldiği gelişim eğrisinin çok ilerisinde. 4

5 Birçok ülkede reklam yazılımları kanuni ve kanunsuz arasındaki gri bölgeye çok yakındır. Bugün gördüğümüz casus yazılımlar, kullanıcının haberi olmadan yüklenme gibi, atılgan sosyal mühendislik tekniklerini kullanır. Kullanıcının rutin bir arama sonucunda çıkan linki takip etmesi üzerine bir bağlamsal pencere ortaya çıkar ve kullanıcının bilgisayarında bir virüs veya truve atı olduğunu belirtir - Silmek için Tamam butonuna tıklayınız. Maalesef belirttiğinin çok dışında bir işlem yapmaktadır asıl işlem bir reklam destekli bilgisayar yazılımını kullanıcının bilgisayarına yüklenmesidir. Reklam yazılım firması yüklemeyi sağlayan kişiye yükleme başına 0,25$ gibi bir ücret öder. Tabii ki bunun kullanıcının izni ile yüklenmesi gerekmektedir, ancak kullanıcıyı başka bir programı yüklediğine inandırarak, son kullanıcı lisans anlaşmasını kolayca atlatabilirler, böylece yüklü bir para kazanabilirler. Birçok ülkede reklam destekli bilgisayar yazılımları yasal ve yasadışı arasındaki gri bölgeye çok yakındır. Çoğu zaman bedava olduğunu bildiren başka programlarla birlükte yüklenirler. Örnek olarak uçbirimden uçbirime dosya paylaşma programı KaZaA (şu anda Avusturalya'da telif hakları ihlali nedeniyle mahkemede ve mahkeme süresince yasa dışı). Genellikle program yapımcıları tarafından reklam destekli gelir sayesinde uygulamanın gelişimi finanse edildiği belirtilir, ve kullanıcıya ücret karşılığı reklamsız sürümler sunulur. Bu tip reklam destekli bilgisayar yazılımları bağlamsal pencereler ve afişler görüntülemenin dışında üçüncü parti reklam şirketlerine kullanıcının internet gezi alışkanlıkları hakkında bilgi yollar. Bu işlem bilgisayarın performansını düşürür ve bazen bilgisayarın çökmesine neden olur. Reklam destekli bilgisayar yazılımları ve casus yazılımlar arasında ayırım yapabilmek için yazılımın amacına ve yüklenme yollarına göz atmalıyız. Bu durum anti-virüs programları için tekrar bir sorun içeriyor; antivirüs programları bu yazılımların nasıl yüklendiği hakkında bir bilgiye sahip olmaz. Kullanıcının yüklenme izni verirken ne yaptıkları hakkında tam bilgiye sahip olup ta mı veya uygunsuz bir web sitesini gezmesi sonucunda mı yoksa bir başka truva atı programı dahilinde mi yüklendiğini bilemez. Birleşme ve hedefli saldırılar Kötümsel, robot, ve casus yazılımların hepse ayrılamaz bir şekilde bağlantılıdır: robot denetçisi hazırda reklam destekli bilgisayar yazılımlarını ve casus yazılımları kurbanın bilgisayarına yerleştirir ve de kontrolleri altında bulunan kullanıcı topluğu arasında inanılmaz sayıda bilgiye sahip olur, ev kullanıcıları arasında potansiyel olarak birçok büyük devletten daha fazla bilgiye sahip olurlar! Böylelikle gizliliği ihlal edilmiş bir bilgisayar kullanıcısının davranışlarını, internetten alışverişlerini ve diğer tercihlerini takip eder, şifrelerini kayıt eder. Bir bilgisayara herbiri potansiyel olarak parazit bir yazılım ile birlikte paketlenmiş herhangi bir sayıda yazılım yüklenebillir. Zamanla bilgisayar bu internet bagajı nedeniyle hantallaşır ve performansı büyük ölçüde etkilenir. İşyerleri bu problemle gittikçe daha çok karşı karşıya geliyor. Bu gizlilik hakkı ihlalleri ve bizim internetteki gezi alışkanlıklarımızın takibine rağmen casus yazılımın ana amacı düşünsel varlık hırsızlığıdır. Casus yazılımın bu denli hızlı gelişmesinin yanında daha hedefe yönelik duruma geldi. İstihbaratın bu şekilde toplanması ile bu bilgiler bir organizasyona yönelik gizlice daha detaylı ve gizlenen bilgiler toplanmasında kullanılabilir (spear-phishing: zıpkınla yemleme). Bu tip saldırılara uğrayan kişiler ve şirketler saldırıya uğradıklarının farkına varmazlar; daha önceden kullanılan virüsler bazı aksamalara yol açabilir, ancak dikkatli hedeflenmiş ve planlanmış bir saldırının aylarca farkına varılmayabilir. 5

6 Dikkatli hedeflenmiş saldırılar aylarca gözden kaçabilir. Daha güncel örneklerde root-kit (kötücül yazılım UNIX sistemlerde kök, Windows sistemlerde yönetici hakkını ele geçirmeye çalışır) teknolojisinin kullanıldığını görüyoruz; böylelikle casus yazılım kendisini işletim sisteminden ve hatta en gelişmiş masaüstü antivirüs veya casus yazılm karşıtı programlarından gizler. Bu teknoloji virüs geliştirme alanında en ileri teknolojilerdendir, ancak bunların casus yazılımlar tarafından simdiden kullanıldığını görüyoruz. Bu durum tekrar casus yazılımların hızla gelişen ileri teknolojilerin arasında olduğunun altını çiziyor. Tabii ki amaç ebay ve PayPal benzeri internet bankacılığı ve diğer ticari internet portallarından yüksek değerli bilgilere ulaşmak. Bankaların yemleme saldırılarından doğan kayıplara karşı iki faktörlü doğrulama sistemine geçmesi ile, suçluların da buna bağlı olarak uzaktan internet bankacılığı oturumlarını kullanıcının iki-faktörlü kimlik doğrulama işleminden sonra ele geçirebilecek uzman casus yazılımlar geliştirmesi bekleniyor. Bu simdiden gerçekleşti ve bunun örneklerini iki yıl önce keşfedildi, fakat geleneksel yemleme teknikleri halen ödüllerini topluyor, yani bu tekniklerin piyasada görmemiz an meselesi. Robot yazılımların daha atikleşmesi, bulunması ve etkisizleştirilmesnin zorlaşması ile robot yazılımlar ile casus yazılımlar arasındaki bağ gözden kaçar. Robot yazılımlar doğrudan diğer kurbanlara virüs, yemleme saldırıları, ve mesaj yağanakları yollar; ve casus yazılmlar bunun aksine bir bilgisayara yerleşir ve kullanıcı hakkında bilgi toplar. Ancak son zamanlarda casus programları bir robot yazılım ağına yerleştirilmesi halinde, robot ağın dahilindeki bilgisayarların kullanıcılarına veya kullanıcının adres listesinden daha bilgili, akıllıca, ve gerçekçi saldırlarda bulunabilir. Siber suçlular kurban bilgisayarların kullanıcıları hakkında yaş, cinsiyet, iskan, kullandıkları banka, ve ziyaret ettikleri web siteleri gibi kişisel bilgilere ulaşabilir. Robot yazılımlar geleneksel anlamda mesaj yağanağı yollayan program olarak görünürken, artık alıcı da oluyorlar. Sadece bir yıl önce mesaj yağanağı programları restgele yollama yaklaşımı kullanıp, milyonlarca e-postanın yollanmasına sebep olurdu. Yemleme saldırıları sadece bir bankanın ya da ticari bir web sitesinin müşterilerine yönelik olmaz da birlaç bankaya ya da kuruluşa yönelip alıcılar arasından birkaç kişiyi tutturabilmek amacıyla yollanırdı. Alıcıların kişiliklerini ve alışkanlıklarını araştırmak için bir çaba gösterilmaz, sonucunda kazanç oldukça düşük olurdu, fakat genel giderleri olmadığından suçluların bu durumdan endişesi olmazdı. Peki bu saldırılar hedefli olabilseydi neler olurdu? Eğer büyük insan topluluklarını alışkanlıklarınına göre doğru alıcı kategorilerine sınıflandırabilseydi? Eğer suçlular kimin hangi bankayla çalıştığını, isimlerini, nerede yaşadıklarını, adreslerini ve telefonlarını öğrenebilseydi çok az bir sosyal mühendislik tekniklerini kullnarak, mesela yakın zamanda yapılmış bir işlemi örnek göstererek yemleme saldırılarını sadece bir e-posta veya telefon açarak çok daha merak uyandıracak bir hale getirebilirler. Şekil 2. Birleşen Tehditler 6

7 Anti-Virüs programları sadece varlığından haberdar olduğu kötücül programları algılayabilir ve yüklenmesini engelliyebilir. Bilgisayarın örün tarayıcılarında saklanmış kullanıcı isimlerini ve şifreleri deşifre edebilecek robot programlara uyumlu takma program komutları şimdiden mecvuttur. Tarayıcılarda sık kullanılan Ebay veya PayPal gibi şifreli web sitelerine erişim için kolaylık sağlar. Bu tip bilgiler Windows korunmalı depolama adı altında hashas bilgler için yaratılmış özel bir bölgesinde, gündelik programların veya kullanıcıların erişebilmesi için şifrelenmiş bir şekilde saklanır. Gerekli araç ve kaynaklar sayesinde bu bilgiler bir robot casus yazılım sayesinde kolaylıkla kırılabilir ve ürünleri toplanabilir. Outlook ve Kişisel Depolama Dosyaları (Personal Storage folders), veya PST (Personal Storage Table: Kişisel Depolama tablosu) dosyalarını bilgilerini ağdışı saklamak için kullanan işyerlerinin bu program ve dosyaların kullanıldığı ortamlardaki güvensizliğin ve ve bu bilgilere ulaşımın ne denli kolay olduğundan haberdar olmaları gerekir. İlk e-posta ile yayılan virüs dalgaları alıcının adres listesini kullanarak yayılırdı. İlk başta bu bilgilere hiçbir paha biçilmemişti çünkü virüs yaymak dışında hiçbir işe yaramıyordı. Yerel PST dosyalarına erişim ile robotları kontrol eden casus yazılmlar aynı zamanda kurban ve kurbanın günlük yazıştığı hakkında bilgi toplamaya da yarıyacak. Bu bilim kurgu değil, bunları gerçekleştirmek için gerekli gereçler bugün mevcut. Bu robot programların aslında casus programların yattığını ve nasıl virüs ve truva atları ve mesaj yağanaklarının birleştiğini, hatta aralarında ayrımın ne kadar zor yapıldığını gösteriyor. Örnek olarak yakın zamandaki bir deneyde, Windows XP SP1 Honeypot bilgisayarı çok kısa bir zamanda saldırıya uğramış ve birkaç saat içerisinde saatte yaklaşık beş milyon yağanak mesaj yolllamaya çalışıyordu. Bu örnekte teknoloji ince bilenmiş. Geleneksel robot yazılımlar bir tüpte iki bezelye gibidir - bir uçtan bir bezelye ittirince öbür uçtan bir bezelye çıkar. Robot yazılımlar bu derce gizli kalır, ancak coğu zaman ölçeklenemez. Yeni teknikler mesaj birleştirme taktiklerini kullanarak toplanan isimleri ve e-posta adreslerini hazır mesajlarla birleştirir. Yani bezelye fırlatıcısını mesaj yağanağı top haline getirir. İsimleri ve e-posta adreslirini bu şekilde birleştiren ve MyDoom ve Sobig virüslerindeki ileri postalama motorlarını kullanarak bir kurban bilgisayardan saatte milyonlarca e-posta yollanabilir. Honeypot üzerinde yapılan daha öte araştırmada birçok kişinin adres listesinden detaylı irtibat bilgileri toplandı, yani yağanak yollıyanın çok daha hedefli olmasını sağladı. Eğer bir kullanıcının bilgisayarı bu şekilde etkilenirse, kullanıcının adres listesindeki kişiler kesinlikle kullanıcıdan bir e-posta bekleyebilir, ve kullanıcının bu listedekilerin beyaz listesinde olma ihtimali yüksektir. E-postalarını internet üzerinden sosyal bağlar için kullanlar bu adres listelerinin güncel olmasını kesinleştirir. Microsoft ve Casus Yazılımlar Bu konudaki büyük bir sorun ise robot yazılımların birçoğunun kanuni uygulama bazlı olması. Agobot veya Phatbot gibi serbest olan robot yazılımların türevleri bir zaman popüler idi, ancak kolayca algılanabilirdi. Daha modern bir yaklaşlım ise özel bir betik kullanarak uzaktan kumanda edilebilen bir IRC (Internet Relay Chat) istemcisi kullanmak. Bunun iyi bir örneği mirc dir popüler ve güçlü IRC istemcisi. Gizli bir şekilde yüklendikten sonra arka planda betikler sessizce çalışıp robot yazılımın kontrol kanalını kontrol edebilir ve yerel yüklü antivirüs yazılımına görünmez olabilir. Antivirüs programları sadece haberi olduğu kötücül yazılımların yüklenmesine engel olabilir. Kanuni bazı programların isteğe bağlı veya istem dışı yüklü olabileceğini bazı kanun dışına kaçmadan saptayamaz. 7

8 Güvenlik duvarı arkasındaki kullanıcıların bir miktar daha güvenliği mevcuttur, ancak Windows XP SP2 nin güvenlik duvarı dışarı giden internet trafiğini kontrolden geçirmez. Robot yazılım ağına bağlanan bir bilgisayarın antivirüs, casus yazılım karşıtı program, ve güvenlik duvarı gibi her türlü yerel karşıt tedbirleri kullanılmaz hale getirilir. Casusu yazılımlar taklaşık birkaç milyar dolar değerinde oldukça büyük bir piyasadır. Bu da çoğunlukla regüle edilmemis casus karşıtı yazılım piyasasını filizlendirir. Şu anda dolandırıcı casus karşıtı uygulama bolluğu var, kaynağı bilinmeyen ve kalitesi belirsiz birçok casus karşıtı yazılım ürünleri sunuluyor. Bunlardan bazıları çok sayıda yanlış pozitif sonuç yani casus olmayan programları casus olarak nitelendirmeye meğilli. Bazıları ise kullanıcıyı yanlış yöne yönlendirip, şaşırtıp ve korkutup ücret karşılığı satışlarını arttırmaya yönelir. Bunlardan birçoğu casus ya da reklam destekli yazılımları prograyanların ta kendisidir. Kullanıcıyı bilgisayarına yüklü bir casus program hakkında uyaran bağlamsal pencere sahte bir casus karşıt programının yüklenmesine, yani daha çok casus programın yüklenmesine sebep olur. Kullanıcı casus programı yazan kişilere üdediği 50 dolar karşılığında bir programla yazdıkları casus programı kaldırma hakkını kazanır. İnternetteki coğrafya eksikliği sayesinde saldırılar her yönden ve içlerinde bu konuda bir kunun uygulamayan bölgelerden ve ülkelerden gelebilir. Bu şekilde yapılmış bir dolandırmanın ekonomik etkisi bütün bu tekniklerin birleşip uygulanabileceğini varsayarsak buzdağının sadece tepesi olabilir. Bu tip saldırı yeteneklerinin hiçbir kanuni korumanın olmadığı ülkelerden yapılabilme olasılığı kötü yollardan bu kadar kazanç dayanılmaz bir dürtü olabilir. Casus yazılım ve raklam destekli yazılım terimleri çoğu zaman karıştırılır ve özellikle de güvenlik toplumu içindeki birçok kişi için değişik anlamlar taşır, vede nispeten yeni birer terimdir. Gerçek anlamı da aslında zamanla evrim geçirmiştir. Üç yıl önce casus yazılım olarak adlandırılanlar genellikle sıkıntı verici bağlamsal pencerelerdi ve günümüzdeki casus yazılımlara göre zararsızdı. Bağlamsal pencereler zamanla tarayıcı takibi işlemine dönüştü, kurabiyeler başbelası ve casus yazılımla eşanlamlı oldu. Kişisel bilgilere ulaşım daha fazla bilgiye daha gizli bir şekilde ulaşım ilerledi, böylece kişilik hırsızlığı ve internetten kredi kartı dolandırıcılığının cazibesine yenik düşen beyaz yakalı siber suçlular kervana katıldı. Halen sanal saldırıların hedefi olan ve dünyanın en popüler masaüstü işletim sistemi Windows'un yaratıcıları Microsoft, yıllar boyu, birçok eleştirinin odak noktası oldu. Dünya çapında popülerlik, her gün artan tehdit, ve sosyal sorumluluğa karşı kararlı tutumun birleşmesiyle Microsoft'un bir sonraki Windows sürümünün Windows Vista'nın varolan en güvenli Windows olarak tasarlanmasını sağladı. 1990Lı yıllarda, Güvenlikli çekirdek modu ve Sanal 8086 modu ile 32-bit Windows'un 16-bit DOS bazlı atalarına olduğu etkisi gibi, heyecanla beklenen tümleşik güvenliği ile Vista'nın güvenlik konusunda çok önemli etkileri olması bekleniyor. Geliştirilmiş hafıza yönetimi ve işlev izolasyonu, Windows Defender'i de içeren diğer tümleşik güvenlik yöntemleri, ve cıkış trafiğini de kontrol eden yeni Vista güvenlik duvarı ile, Vistanın kötücül programların işletim sistemine etki etmelerini son derece zor bir hale getirmesi bakleniyor. Geleceğin virüslerinin yeni işletim sistemini tamamen değişik yollardan mı etkileyeceğini, yoksa sanal suçluların Mac OS X veya Linux gibi değişik işletim sistemlerini mi kurban olarak seçeceğini ancak gelecekte göreceğiz. Bu büyük ölçüde Vista'nın dünya çapında Windows XP nin ne derece yerini alacağına bağlı. Dünyada halen indanların Windows 95 ve Windows 98 i kullandığını 8

9 düşünecek olursak, bu ihtimali görmek biraz zor. Tıpkı DOS virüslerinin Windows NT de yayılamadığı gibi, Windows XP ve Windows 98 de düzgün bir şekilde çalışan virüslerin Vista ile çalışamayacağı bir gerçek. Bu tür saldırılar sıfırdan tasarlanmak zorunda. Bu durum belki de bir miktar nefeslenme şansı verecek. Öte yandan, yeni saldırılar işletim sisteminden ziyade uygulamaların zayıf noktalarını hedefliyor. Microsoft Word içindeki sıfır-gün zayıflarını kullanarak, bazı şirketlere yüksek derecede hedefli saldırıların yapıldığını 2005 yılında gördük. Bu saldırılar Microsoft Word'ün beklenmedik bşr şekilde çalışmasına neden oldu ve gizli casus programı alıcının bilgisayarına yerleştirdi. Güvenlik toplumundaki herkesin bilgiği gibi her derde deva gibi bütün problemleri yok eden bir çözüm yok. Vista'nın kuşkusuz güvenlik konusunda etkisi olacak ancak genel olarak işyerleri işletim sistemi yenşlemesi konusunda yavaştır: Windows XP nin 2inci servis paketinin kurumsal masaüstlerine ne kadar zamanda ulaştığını bir göz atın. Bu tür gelişmeleri yürürlüğe koymak işlemsel ve lojistik olarak BT bölümüne sorun yaratır, ve sadece dahili programlarla yoğun testlerden sonra yeşil ışık yakılacaktır. Basit bir antivirüs programının dahi yeni sürümüne geçiş büyük kurumlarda sorunsuz olmaz ve çok dikkatli planlama gerektirir, bundan dolayı birçok masaüstü bilgisayarında en son kötücül programların tespit etme kapasitesi bulunmaz. Her ne işletim sistemi kullanılırsa kullanılsın, her ne kadar işletım sistemleri güvenliğini arttırsın, bu zincirdeki en zayıf halka her zaman kullanıcı olacaktır. Tartışılabilir bir şekilde bu sorun hiçbir zaman kişisel bilgisayar teknolojisinde çözümlenemez sadece teknoloji hiçbir zaman kullanıcının davranışlarına etki edemez. Kısa vadede suçlular sosyal mühendislik taktiklerine yönelecekler ve kullanıcının bir hata yapması ve özel bilgilerini kaybetmeleri için tuzak kuracaklar. Uzun vadede güvenliğin zayıf noktaları ortaya çıkacak ve casus programlar bu zafiyetten faydalanmanın yolarını bulacak, bu sadece zaman meselesi. Geleneksel hesap modeli işletim sisteminin kullanıcıların ve uygulamaların hesaplama özkaynaklarına erişimlerini kontrol kontrol altında tutmasına dayalıdır. Ancak son zamanlarda, isteğe dayalı hesaplama kurumsal hesaplama çevrelerinde Yararlilik modeli ni uygulamaaya başladı, bu modelde hesaplama özkaynaklarının bir kısmı sanllaştırılabilir. Örnek olarak grid computing (gridal hesaplama), virtual storage (sanal depolama), virtual networking (sanal ağ bağlantısı), virtual hardware (sanal donanım), ölçeklenebilir işletim sistemleri dizaynında daha sık karşılaşılan terimler haline geldi. Birçok işyeri şimdiden, Microsoft Terminal servisi veya Citrix presentation sunucusu gibi ağ bağlantılı kaynaklarına daha merkezi kontrol imkanları sağlayan, merkezi sunucu merkezli ortamlar kullanıyor. Son dönemlerde, Softricity SoftGrid gibi uygulama sanallaştırma programları uygulamaların işletim sistemine ve birbirine bağımsız olarak çalışmasını sağlar. Bu, VMware Server veya Microsoft Virtual Server gibi sunucu sanallaşması programlarında farklıdır çünkü uygulamalar işletim sistemine bağımlı olarak çalışır. Her uygulamanın kendi sanal oluşunda yüklenmeden var olmasının getirdiği bazı eksilerin olmasına rağmen, merkezi uygulama sanallaşması, daha güvenli ve kontrollü bir ortam sağlamasından ve uygulamaya yönelik saldırılara karşı korunumundan dolayı, bazı finansal kurumlar tarafından uygulanması düşünülmektedir. 9

10 Esas güvenlik önlemleri masaüstündense giriş noktalarına odaklandırılmalı Temelde, ürüne yönelik çevreden servise yönelik çevreye geçişi Microsoft'un baş teknoloji yöneticisi Ray Ozzie'nin desteklemesi gerekiyor. Ray Ozzie şirketinin Office Productivity Suite ve Exchange Messaging and Collaboration Application dahil olmak üzere servis bazlı bir yöne ilerlemesi direktifini verdi. Bu tabii ki zaman alacak, belkide yıllar sürecek, ancak bu değişim güvenlik zemininde önemli değişiklikler yapacak. Uygulama çevresi çok daha kontrol altında ve masaüstünden çok daha bağımsız olacak, böylece sanal suçluların işi zorlaşacak. Ev ve küçük işyerlerinde bant genişliği ilerledikçe, 20Mbps ve daha hızlı olduğunda, insanların internet kullanımı da değişecek ve bugün kullanışlı olmayanlar birkaç yıl içerisinde şüphesiz gerçek olacak. Daha on yıl önce e- posta bir lüks sayılırdı kurumsal bir kavram olup sadece ofisten ulaşılabilirdi, ve sokağın karşısındaki birisine e-posta yollayabilme imkanı neredeyse yoktu. Buna rağmen son on yılda bütün gelişmiş dünya ve de gelişmemiş bölgelerin büyük bir kısmı internetle tanıştı ve şimdi internet telefondan daha çok kullanılan bir haber aracı haline geldi. Casus Programlara Çareler İnternet tamaıyla güvenli sayılabilecek bir ortam halinegelene kadar, servis bazlı İnternet Ütopyası yapısına geçilene kadar, günümüzde, işyerleri güvenlik ortamlarına göz atmalı ve daha servis bazlı modellere geçiş yapmalılar. Bu, sanal suçluların cephaneliğinde bulunan sofistike ve hergün daha da saldırganlaşan tehditlerden korunmanın tek yolu. Kısa dönemde, yüksek dikkat göstermek günümüzdeki saldırılara karşı çıkmakta bir süre başarılı olacaktır. Sanal suçlular daha organize oldukçe ve geliştikçe, teknoloji engellerini atlatmak için sosyal mühendislik usulerini kullanarak saldırılarını daha odaklı hale geliyor. En dikkatli olanlarımız bile bu tuzaklara düşebiliyor; insanlardaki merak, tıpkı kedilerdeki gibi güçlç ve tehlikeli bir etki yapabiliyor ve bazen bütün güvenli bilgisayar kullanım usullerinin üstesinden gelebiliyor. Buna dayanarak şirketler bu tehditlerin aktığı ana yolları bulmalı ve etkili bir şekilde azaltmalılar. Bunu güvenli bir şekilde gerçekleştirmek için şirketler savunmalarını daha çok masaüstü yerine giriş noktalarına odaklandırmalı masaüstünde varlığı anlaşıldığında bir güzenlik tehlikesi için çok geç olmuş olabilir. Bunun bir adım daa ilerisi olmak üzere protokolden bağımsız savunma uygulamaların internet yollarının üzerine kurulması servis yönlü çözümlerin anahtar noktası olacak. Aynı bu yolla, evde geniş bantlı internet kullanıcıları, yayılımı için enuygun ortam olan botnetlere karşı internet seviyesiyle birlikte internet sağlayıcılarından çözüm bulmalarını bekleyecek. Şu anda bir güvenlik zayıf noktasının bulunması ile bu zayıf noktayı kullanarak saldırı yapan bir yazılımın gelişmesindeki aranın yok olduğunu biliyoruz. Sadece iki yıl önce bir zayıf bir noktanın görünmesiyle bu noktadan istifade eden yazılın halka açık ortamlara girmesi aylar sürerdi, ancak günümüzde bu süreç günlere indi. Saldırılarında yeni ortaya çıkmış bir zayıf noktayı kullanmak yerine, sanal suçlular artık kendi araştırma ve geliştirmelerini yapıp, kendi buldukları zayıf noktalardan faydalanıp halkın eline düşmeden önce yeni tehditler dizayn edip saldırıda bulunuyorlar. Zamanla bu konudaki yasama ve yargı uluslararası dayanışma ve koordinasyon ile daha gelişip sanal suçluların için sınır kökenli yasa boşlularından faydanmalarını engelliyecek. Ancak, bu sonuçta teknik bir problem ve teknik bir çözüm gerektiriyor. Probleme daha havadayken internet 10

11 seviyesinde karşılık vermek çatışmayı suçlulara bir adım daha yaklaştırıyor. Bu probleme internet seviyesinde karşılık vermek sadece çatışmayı kaynağına yaklaştırmakla kalmıyor, aynı zamanda bu yaklaşım ufak ayrıntılardan uzaklaşmayı ve genel ağ kavramına daha iyi bir anlayış getiriyor. Ancak teknoloji ilerledikçe suçlular geri kalmış ve gizemli teknolojimizin arkasına saklanamayacaklarını anlayacak. Bugünün interneti dünün interneti olabildiği zaman ancak yasalar suçluları caydırıcı bir etken olabilecek. Birçok şirket, artan saldırılardan dolayı, güvenlik sistemlerini arttırsa da halen tepkin güvenlik yazılımlarının ötesine ilerleme imkanları bulunmakta. Esas şudur ki, geleneksel anti-virüs ve anti-spam programları güvenlik sağlamakta yetersiz kalıyor ve sadece bilinen tehditlere karşılık veren günümüzün güvenlik sistemlerinden bir adım önde olan suçlular kolayca açıklarını yakalıyabiliyor. İçeriği kontol eden, şirket kurallarını uygulatan, ve kurumsal mesajlaşmaya internet boyutunda değer getiren servisler kullanmanın bir işyerine birçok faydaları var. Müşterinin donanıma ve yazılıma ihtiyacı olmadan, zaman ve özkaynak harcamadan, şirkete ait BT eprsoneli gerekmeden, çalışlanların verimliliği artar, e-posta sistemlerinin randımanı ve çalışabilirliği artar. E-posta hacmini düşürüp ağ kaynaklarını arttırır ve internet bant genişlik ihtiyacını düşürür. Tehditlerin evrimini düzenli ve sürekli bir şekilde denetleyerek ve analiz ederek işletmeler e-posta güvenliğindeki en iyi uygulamaları kullanılarak virüs ve mesaj yağanağı gibi sorunlar yok edilebilir. Böylece MessageLabs gibi güvenlik uzmanlarına gelecek nesil sanal suçlularıyla çatışmak kalır. 11

12 İngiltere için ücretsiz telefon numarası A.B.D. için ücretsiz telefon numarası Avrupa A.B.D. Ana Merkez 1270 Lansdowne Court Gloucester Business Park Gloucester, GL3 4AB United Kingdom T +44 (0) F +44 (0) Londra 3rd Floor 40 Whitfield Street London, W1T 2RH United Kingdom T +44 (0) F +44 (0) Hollanda Teleport Towers Kingsfordweg GR Amsterdam Netherlands T +31 (0) F +31 (0) BELGIUM / LUXEMBOURG Cullinganlaan 1B B-1831 Diegem Belgium T +32 (0) F +32 (0) Almanya / Avusturya / İsviçre Feringastraße Unterföhring Munich Germany T +49 (0) F +49 (0) Amerika Merkez 512 Seventh Avenue 6th Floor New York, NY USA T F Merkez Bölge 7760 France Avenue South Suite 1100 Bloomington, MN USA T F Asya Pasifik Hong Kong 1601 Tower II 89 Queensway Admiralty Hong Kong T F Avusturalya Level Mount Street, North Sydney NSW 2060 Australia T F SINGAPORE Level 14 Prudential Tower 30 Cecil Street Singapore T F MessageLabs 2006 Her hakkı saklıdır 12