Antivirüsler ise bu tarz zararlı yazılımların etkilerine karşı engellemek ve bilgisayarınızı korumak için tasarlanmış uygulamalardır. Antivirüslerin çalışma prensiplerini ve bugünkü teknolojide nasıl koruma sağladıklarını anlayabilmek için öncelikle virüslerin tarihine bakarak, evrimlerini inceleyelim.

İlk Bilgisayar Virüsü

Kendini kopyalayabilen bilgisayar programları fikri ile ortaya çıkan virüsler ilk olarak 1948 yılında John Neuman tarafından ortaya atılmıştır. Aslında virüs adını verdiğimiz zararlılar, birer bilgisayar programıdır. Bilgisayarımızda kullanmış olduğumuz yazılımlar veya uygulamalar ihtiyaçlarımızı karşılamak ve bilgisayarımızı daha verimli kullanmak için üretilirler. Ancak virüsler bilgisayarların işleyişlerini bozmak, dosyalarımıza zarar vermek, fidye, şantaj ve benzeri illegal işlevler için internetin karanlık yüzünde yaşayan yazılımcılar tarafından üretilirler.

Bilgisayar Virüslerinin Tarihi?

Bilgisayar virüsü, bilgisayarı kullanan kişinin izni veya bilgisi dahilinde olmadan, bilgisayarın çalışma şeklini değiştiren, verilerimize zarar veren ve bunu yaparken de kendini gizleyen bilgisayar yazılımları olarak tanımlanır. Global olarak bu türdeki zararlılara Türkçede “kötücül yazılım”, İngilizcede “Malware” adı verilir.

Elk Cloner üretilmiş ilk bilgisayar virüsü olarak tanımlanmıştır. Rich Skrenta tarafından 1982 yılında yazılan bu zararlı uygulama Apple DOS 3.3 işletim sistemine disketler vasıtası ile bulaşmıştır. Bu virüs bir lise öğrencisi tarafından şaka olarak hazırlanan uygulamaydı ve bir oyunun içerisine gizlenmişti. Bu oyun 50. kez oynanırsa virüs ortaya çıkıyor ve boş bir ekrana şiir çıkartarak bulaşma işlemi tamamlıyordu.

Bu virüsün ortaya çıkmasından sonra ilk bilgisayar virüsü konulu araştırma doktora tezi olarak 1983 yılında ilk defa yayınlamıştır.

İlk Bilgisayar Virüsleri

İlk bilgisayar virüsü konusunda birçok tartışma ortaya çıkmıştır. Kişisel olarak ortaya çıkartılan ilk virüs Brain adı verilen ve bilgisayarın ön yükleme sektörüne bulaşan zararlı yazılım olarak tanımlanmaktadır. İlk olarak 1986 yılında Amjad Farooq Alvi isimli iki kardeş tarafından kodlanmıştı. Bu iki kardeşin virüsü ortaya çıkartma sebebi kullandıkları yazılımların korsan kopyalarını engellemeye yönelik hazırlamıştı. İki kardeş bu sayede korsan kopyalar elde ediyordu. Ancak analizciler bir tür Brain türevi (varyant) olan Ashar virüsünün, kodlar incelendiğinde aslında Brain’den önce yaratıldığını da iddia etmektedirler.

Bu konuda birçok tartışma olsa da ilk bilgisayar virüslerini bugünkü teknoloji dünyasında basit ve sınırlı kabiliyetleri olan zararlı yazılımlar olarak tanımlayabiliriz. Elbette ki günümüz virüsleri çok daha tehlikeli ve sınırsız teknikler kullanabilen gelişmiş kabiliyetlere sahiptirler.

İlk üretilen bilgisayarlar arasındaki veri paylaşımı disketler aracılığı ile yapılmaktaydı. Bu sayede virüsler bir bilgisayardan diğer bilgisayara bulaşabilmek için ilk olarak disketlere bulaşmak zorundaydı. Sonrasında bu disketlerin takılmış olduğu bilgisayarlara kullanıcıların kendi elleri ile dağıtılıyordu.

Ağ teknolojileri yaygınlaştıkça bilgisayar virüslerinin bulaşma riskleri de artmaya başlamıştı. Bazı virüsler yalnızca kendilerini kopyalarken bazı türler ise bilgisayarların ön yükleme sektörlerine bulaşarak bilgisayarların ilk açılışında aktif oluyor ve işletim sistemlerini bozmayı amaçlıyordu. Bu sayede tarihte binlerce bilgisayarın bozulduğunu ve işletim sistemlerinin kullanılamaz hale geldiklerine şahit olduk. Aynı zamanda CIH virüsü gibi bazı tehlikeli türlerin bilgisayarlarımızın ana kartlarına yani donanımlarımıza zarar verdiklerini de biliyoruz.

Bugün geldiğimiz noktada disketlerin yerlerini USB Flash Sürücüler veya USB Diskler almıştır. Disketlerde olduğu gibi ilk virüsten bu yana değişmeyen en önemli nokta enfekte olmuş bilgisayara takılan bir USB Flash sürücüsü sayesinde başka bilgisayarlara virüslerin taşınmasıdır.

Geleneksel Virüsler

Geleneksel virüsler 1980’lerde kişisel bilgisayarların yayılması ve uzak bilgisayarların iletişim için kullanılan modemlerin artışı ile yayılmaktaydı. Bilgisayarlar arası iletişim arttıkça ve yazılım paylaşımları ilgi gördükçe virüsler de artış gösteriyordu.

Bir tarafta yazılım üreticileri, diğer tarafta ise bilgisayar korsanları günümüz telif savaşlarının öncüsü olmuşlardı. Bilgisayar korsanı olarak tanımlanan virüs yazarları, legal yazılımları ürettikleri virüslerle kopyalıyor ve iş çevreleri için tehdit haline geliyordu. Elbette ki üreticiler bunun önüne geçmek için yazılımlarını daha güvenli hale getirmeye çalışmaktaydılar.

1990’lı yıllardan itibaren Word, Excell gibi birçok Microsoft yazılımını etkileyen makro virüsleri ile tanıştık. Ofis uygulamalarını etkileyen bu makro virüsleri belgeler açıldığı zaman bilgisayarlara bulaşıyordu. Bugün de dahi ofis dosyaları ile bulaşan makro virüslerini görmeye devam ediyoruz.

Mac kullanıcıları aslında ilk virüslerin hedefiydi!

Günümüz Mac kullanıcılarını o kadar çok tehdit etmese de aslında üretilen ilk virüsler Macintosh bilgisayarları hedeflemekteydi. Diğer bir yandan İnternet’in yaygınlaşması ile Microsoft Outlook kullanıcılarını etkileyen e-posta virüsleri ile karşılaşmaya başladık.

2000’li yılların başlarında Outlook ve Outlook Express’teki bir güvenlik zafiyetini kullanan Badtrans solucanı ile virüslerin farklı davranışlarını görmeye başladık. Çok daha tehlikeli, çok daha etkili bir tür ortaya çıkmıştı. Bu solucanın en önemli özelliği ise virüsün çalışabilmesi için “e-posta içerisindeki zararlı yazılımı çalıştırma” zorunluluğunu ortadan kaldırmıştı. Badtrans Outlook yazılımındaki bir güvenlik zafiyetini kullanarak kendini çalıştırabiliyor ve kopyalayabiliyordu.

Yeni tür olarak karşımıza gelen bu virüsler Cross-Site betik virüsleri olarak adlandırılmıştı. Virüs araştırmalar sonucunda ortaya çıkartılmış akademik olarak 2005 yılında paylaşılmıştı. Sonrasında ise bu tekniği kullanan betik virüsleri yeni nesil virüsler olarak karşımıza çıktı. Etkilenen sistemler arasında Myspace ve Yahoo gibi dev markaların kullanıcıları olmuştu.

Antivirüsler ve Çalışma Prensipleri

Antivirüs bilgisayarlarımıza bulaşabilecek virüslere karşı geliştirilmiş güvenlik yazılımları olarak tanımlanır. Antivirüslerin ilk görevi sistem bütünlüğünü bozabilecek veya verilerimizi tahrip edebilecek kötücül yazılımlara karşı koruma sağlamaktır.

Geleneksel virüsler bulaştıkları sistemdeki verilerin içerisine kendilerini enjekte ederek çoğalmayı hedeflemekteydiler. Antivirüsler ise bir verini bütünlüğünü bozan yani bir uygulamaya kötü kod eklendiğinde uygulamanın içerisindeki zararlı kodların temizlenerek (tamir etme yolu ile) dosyayı orijinal haline getirmekteydi. Bu sayede bozulan verilerimiz tekrar kullanılabilir bir hale geliyor ve sistem bütünlüğü sağlanıyordu. Ancak bazı durumlarda maalesef ki Antivirüsler bu dosyaları tamir edememekte ve sistem bütünlüğünü korumak için temizlenemeyen dosyalar karantinaya alınarak koruma sağlanırdı. Karantinaya alınan uygulama çalıştırılamayacağı için virüsün yayılması engellenir ve sistem bütünlüğü korunmuş olurdu.

Günümüz dünyasında birçok virüs tehdidi ile karşılaşıyoruz. Artık virüsler çok daha akıllı ve çok daha farklı tekniklerle karşımıza geliyor. Doğal olarak uzmanlar ve uzman destek ekipleri bir işletim sistemi kurdukları zaman ilk olarak antivirüs uygulamaları ile sistemleri korumaya almayı planlarlar.

Yakın geçmişe kadar antivirüslerin tamamı imza tabanlı veritabanları kullanarak virüsleri tespit edebiliyordu. Bu veritabanları sürekli güncellenmekteydi ve keşfedilen virüslerin hash adını verdiğimiz imzaları antivirüslerin veritabanlarına eklenerek tespiti sağlanıyordu. Antivirüsler bilgisayarda keşfettikleri anormallikleri bu veri tabanlarında karşılaştırarak bir virüs aktivitesi olup olmadığına karar vermekteydi. Bu teknik günümüz internet dünyasına kadar gelişerek gelmiş ve halen daha kullanılmaya devam etmektedir. Biz son kullanıcılar ise antivirüslerimizi sürekli olarak güncellemek ve güncel kalmak zorundayız. Bugünkü teknolojide antivirüs yazılımlarına baktığımız zaman imza tabanlı oldukları gibi heuristic yani davranış tabanlı tespit sistemleri de kulanmaktadırlar.

Virüsler enfekte olduklarında dosyaların bütünlüğünü bozmaktalar. Dolayısı ise tanınan bir virüsü hash üzerinden yani imza tabanlı olarak tespit edebiliyorsunuz. Ancak tanınmayan virüslerde bu durum büyük soru işaretlerini de beraberide getirmekteydi.

Kod değiştirilmesi sadece imza tabanlı çalışan antivirüslerin tespitini sağlar. Heuristic dediğimiz sezgisel yaklaşım (davranışsal tespit) ve hatta kendi içerisinde Sandbox özelliği bulunan antivirüsler olduğunu da söyleyebiliriz. Bu sayede imza tabanlı olarak tespit edilemeyen virüsler, sisteme bulaştıklarında yapmış oldukları kötü davranışlar ile yakalanmakta ve tespit edilmesi sağlanmaktadır.

Günümüz virüsleri çok gelişti ve özel tekniklerle karşımıza geliyorlar. Farklı davranışlar sergileyenleri hatta sistemde herhangi bir zarar vermeden aktif edilene kadar komuta sisteminden emir bekleyen zararlıları da görmekteyiz. Diğer bir yandan kullanıcıların haberi olmadan kamera kaydı, ses kaydı alan virüsleri, klavyemizden bastığımız tüm tuşları kayıt alarak sisteme zarar vermeden bu verileri saldırganlara gönderen virüsleri ve benzeri yapıdaki bilgilerimizi çalmaya yönelik tehditler ortaya çıkmıştır. Firewall cihazlarına veya yeni nesil güvenlik cihazlarına karşı özel teknikler geliştiren ve yaklanmadan sistemlerde aylarca kalabilen gelişmiş hedef odaklı zararlı yazılımlar ise büyük birer tehdit olarak karşımıza çıkabiliyor.

Davanışsal tespitler antivirüs firlalarının AR-GE çalışmalarına göre farklılık göstermektedir. Bu da virüslerin yakalanmasında büyük bir farklılık ortaya koymaktadır. Ar-GE’si güçlü olan ve gelişmiş tehditleri iyi analiz edebilen firmalar bu sayede ön plana çıkıyorlar.

Elbette ki sezgisel algoritmalar sayesinde yüzde yüz güvende olduğunuzu söylemek doğru değildir. Ancak günümüz internet teknolojilerini ve yazılım teknolojilerini düşündüğümüz zaman en iyi çözüm yollarından biri olduğunu söyleyebiliriz. Çünkü günümüz internet ve teknoloji dünyasında her dakika yeni bir virüsün ortaya çıktığını düşünürsek, imza tabanlı tespit sistemlerinin yeterli olmadığını net olarak söyleyebiliriz.

İlk virüsün karşımıza çıkmasının üzerinden yaklaşık olarak 40 yıllık bir süre geçti. Teknoloji bu süre içerisinde büyük bir hızla gelişmeye devam ettiği gibi virüsler de evrimleşerek biz kullanıcıları tehdit etmeye devam ediyor. Aynı zamanda antivirüs firmaları da gelişerek virüsleri tespit etme tekniklerini geliştirmeye devam edecektir.

Virüslere karşı sistemimi nasıl korumalıyım?

Antivirüsler bir nevi antikor gibi hareket ederler. Yani enfekte edilmemiş sisteme kurulmaları tavsiye edilir. Enfekte edilmiş bir sisteme antivirüs yazılımı kurmaktansa, enfekte olmuş bir sistemi başka bir sistemde tarayarak temizlemek daha doğru bir hareket olacaktır. İşletim sistemlerimiz günümüz teknoloji çağında her saniye binlerce saldırı alabiliyor. Bu saldırıların da büyük bir kısmının virüsler, solucanlar, truva atları gibi zararlı yazılımlar olduğunu unutmamalıyız. Önceleri diskler veya disketler arası kopyalama ile çoğalan virüsler bugün sistem açıklarından faydalanarak internet üzerinden birkaç saniye içerisinde milyonlarca bilgisayara bulaşabilme potansiyeline sahipler. İlk başta kullanıcının çift tıklama ile çalıştırması gereken zararlı dosyalar, bugünkü teknolojide herhangi bir çalıştırma komutuna ihtiyaç duymadan otomatik olarak sisteminizde aktif olabiliyorlar. Sonuç olarak enfekte olmamış sistemimize Antivirüs kurmak ve sürekli olarak yeni tekniklere karşı koruma için antivirüslerimizi güncel tutmak zorundayız. Aynı zamanda da ağımızı anormal davranışların tespiti için bir firewall cihazı ile kontrol altında tutmak zorunda kalıyoruz.

Firewall Cihazlarının Antivirüs Uygulamları ile Client Tabanlı Antivirüs Yazılımlarının Farkları Nelerdir? Neden Antivirüs Kurmak Zorundayız?

Firewall cihazları veya Next Generation olarak adlandırdığımız üzerinde birçok modül bulunduran cihazlarının birçoğunda Antivirüs uygulamaları da bulunmaktadır. Şirket ağınıza internetten veya diğer ağlardan gelebilecek tehditlere karşı analiz yaparak zararlı yazılımları algılama kabiliyetlerine sahiptirler. Yani ağ trafiğiniz en küçük parçalarına kadar izlenir ve bir zararlı aktivitesi tespit edildiğinde daha client bilgisayarlarına gelmeden engelleme yapılabiliyor. Doğal olarak birçok kişi clientler üzerindeki antivirüslere gerek olup olmadığını sorabiliyorlar. Bu noktada antivürüslere neden ihtiyaç duyduğumuzu da anlatmamız gerekiyor.

Virüsler günümüz dünyasında çok geliştiler ve binlerce farklı tekniği kullanabiliyorlar. İşletim sistemlerinin açıklarını bulabildikleri gibi, internete bağlı cihazları otomatik olarak tespit edip bulaşma potansiyellerine sahipler. Zararlı trafiği şifreleyerek sisteme bulaşmak da kullanılan özel tekniklerden bir tanesidir. Firewall cihazları ne kadar iyi olursa olsun, şifrelenmiş bir trafiğin içerisini açamayacakları ve okuyamayacakları için, bir zararlı bağlantısı olup olmadığını çözemeyeceklerdir. Ancak clientlerin üzerindeki antivirüs uygulamaları client tarafındaki zararlı hareketlerini (davranışsal tespitlerle) inceleyerek (trafik cliente geldiği zaman şifreleme tamamlanır) tespit edebilirler.

Bir diğer fark ise File System virüsleridir. Kurum ağı içerisindeki bilgisayarlarımıza virüsler yalnızca internet üzerinden bulaşmazlar. USB diskler, harici diskler, cd veya benzeri fiziksel aktivitelerle de virüs bulaşabilir. Firewall cihazları yalnızca kurum ağını denetlerler. Yani kurum içerisindeki bilgisayarların içlerinde olan aktiviteleri denetleyemezler. Doğal olarak bir kullanıcınız virüslü bir flash diski bilgisayarlara takarak zararlı yazılım bulaştırabilirler. Bu gibi durumlara karşı da kurum içerisindeki tüm bilgisayarlara birer antivirüs yazılımı kurmak zorunda kalırız. Tek başına antivirüsler de yeterli olmayacaktır. Çünkü antivirüsler kurum ağınız içerisindeki zararlı aktiviteleri yakalayamazlar. Yalnızca kuruldukları bilgisayarları denetlerler. Firewall cihazlarının da kurum ağını denetleyebildikleri için ağ üzerinden gelen saldırıları tespit edebilirler.

 

Firewall Aldım Antivirüse İhtiyacım Var mı?

Evet, kullanmış olduğumuz Firewall cihazlarında ağ trafiğimizi denetleyebilmek için antivirüs modülüne ihtiyacımız olduğu gibi clientlarımızı denetleyebilmek için de bir antivirüse ihtiyacımız var. Hem firewall tarafında ağ trafiğini denetleyerek hem de client tarafında kullanıcılarımızın fiziksel erişim veya bilinçsiz kullanımlar sebebi ile oluşabilecek virüs tehditlerine karşı sistemlerimizi korumak zorundayız.

Teknoloji geliştikçe EDR ismini verdiğimiz hem kurum ağını hem de clientları denetleyen sistemler geliştirilmiştir. Ancak Firewall veya Antivirüs yazılımlarına göre çok pahalı çözümlerdir. Fidye virüsleri veri ihlallerine baktığımız zaman genel olarak kurum içerisindeki çalışanların yanlışlıkla, bilmeden veyahut bilerek bir zararlı yazılımı çalıştırması ile ortaya çıktığını unutmamamız gerekiyor. Bu da biz güvenlik uzmanları ve IT destek uzmanları için hem Firewall tarafında Antivirüs kullanmaya hem de Client tarafında birer Antivirüs kullanmaya zorunlu kılmaktadır.  Örneğin kurum içine insan eliyle sokulan usb cihazları, harici hard disk vb. cihazlar; firewall cihazlarını aştıkları için buradan gelebilecek tehditlere karşı da devreye antivirüsler girer. Doğal olarak bu durumda firewall’lardan koruma beklemek doğru olmayacaktır. Mobil cihazlar aracılığıyla ya da içerik sokulan depolama cihazlarının denetlenmesi noktasında antivirüsler kritik bir görev üstlenirler. Bunu şu şekilde düşünebiliriz; restoranımız kapısında duran bodyguard’a firewall; masaların arasında gezen koruma görevlilerini de antivirüs olarak tanımlayabiliriz.

Fidye yazılımı olarak programlanan Wannacry ve türevleri geçtiğimiz yıl bir metin dosyasıyla birlikte tüm bilgisayarlara sessiz sedasız bulaşarak verileri ele geçirmeye odaklanmıştı. Virüsün kaynağı bilinmese de dünya genelinde etkileri büyük olmuştu.  Güvenlik yazılımı üreticileri aralarında Türkiye’nin de bulunduğu toplamda 150 ülkede 200 binden fazla bilgisayarın etkilendiği virüs sebebi ile geçtiğimiz yıl milyarlarca dolar zarara uğranıldığını belirtiler.

Saldırının ilk büyük darbesi İngiltere’ye indi. Ulusal Sağlık Sistemi’ne bağlı bazı hastaneler MRI ve CT taramaları yapamazken, doktorlar dijital sistemleri bırakmak zorunda kaldılar. Ülke genelinde 45 sağlık kuruluşu işlemleri durdurmak ve hastaları geri çevirmek durumunda kaldı.  Rusya’da operatörler ve ABD merkezli kargo şirketleri de dahil olmak üzere küçük veya büyük hedef gözetmeksizin birçok zarara mal olduğuna şahit olduk.

Teknoloji geliştikçe saldırganların teknikleri de geliyor. Özellikle de fidye virüsleri sebebi ile milyonlarca dolar zarar eden firmalar olduğunu düşünürsek, bir firewall cihazı olması gerektiği gibi kullanıcılarımızın bilgisayarlarını da korumak durumundayız.