antivirüs

• son yıllarda piyasadaki popüler anti virüs yazılımlarında (avast, avg, mcafee, kaspersky vs) o kadar çok sayıda ve ciddi seviyede güvenlik açığı çıktı ki bilgi güvenlik uzmanları üçüncü parti antivirüs yazılımlarının artık faydasından çok zararı olduğunu düşünüyor. windows'ta dahili gelen windows defender'ın aktif kalması güvenli, onu tutmakta fayda var. (neden: (bkz: #63073690))
  
  genel olarak "paket güvenlik çözümü" olmaya çalışan yazılımlar çok fazla işi bir arada yapmaya çalışırken kendi güvenliklerini sağlamayı beceremiyor. zaten antivirüslerin hep bir adım geriden gittiği bir köşe kapmacaya dönmüş olan bilgi güvenliği konusunda kullanıcı bilinçlenmesinden daha etkili bir silah yok.
  
  mobil platformlarda bu köşe kapmaca daha geriden gittiği gibi çoğu malware platformun güvenlik özellikleri (mesela appstore denetim sıkılığı) yazılımlardan daha etken rol oynuyor. haliyle sadece gereksiz uygulama kurmayıp olanları güncel tutarak bile en iyi antivirüsten yüz kat daha iyi güvenlik elde etmek mümkün.
• "windows defender bu durumdan nasıl muaf..."
  
  çünkü windows defender diğer çözümlerin aksine bir "suite" değil. çok temel bir koruma modeli var. ufak olduğundan saldırı yüzeyi de ufak. bu yaklaşım bir güvenlik garantisi değil, bir risk yönetimi tercihi. herkesin güvenlik anlayışı, beklentisi ve risk hesabına göre değişebilir. doğrusu kişiye özel tehdit modeli üzerinden bir güvenlik stratejisi oluşturmak. güvenlik tehditlerine tek elden anahtar teslim çözümler olduğunu farz etmek de yanlış. bir kullanıcı için elbette antivirüs daha doğru tercih olabilir. bazıları o antivirüsün tüm özelliklerine de ihtiyaç duyabilir. her ne kadar "bilinçlendirme" koşulundan bahsettiysem de herkese yönelik bir tavsiye gibi aktarmam hata olmuş.
• hiç orijinal bir antivirüs paketi alıp kullanmadım, nasıldır bilemeyeceğim. lakiin, şu her yerden download edilebilen kısıtlı özelliklere sahip antivirüs programlarının bi boka yaramadığını rahatlıkla söyleyebilirim. her allahın günü tarama yapar, bir tane virüs bulup sildin mi diyorum, yok abi diyor. e be allahsız, ben bilmiyor muyum makinede virüs olduğunu? pis yalancı. bir de kasım kasım kastırıyor bilgisayarı tarıyacam ayağıyla.
  
  şimdi sildim bütün antivirüs programlarını, güvenlik duvarımı da kapattım, filtrelemeleri sıfıra indirgedim. kebap. sakınan göze çöp batar olm.
• bizzat virüsü üreten eller tarafından üretildiğinden pek bi fayda sağlamayan vasat hede. dünyanın en büyük virüs ve antivirüs üreticileri aynı kaynaktan besleniyor. biri türkiye üzerinde oynanan bu oyunlara bir dur demeli.
• günümüzde işe yarama oranı gün çektikçe düşmektedir. öncelikle hiç bir güvenlik yazılımı %100 oranında kesin güvenlik sağlamaz. tüm teknik özellikleri mükemmel olsa da, var olan olmayan tüm teknik saldırı tiplerini karşılasa da işin içine insan faktörü girdiğinden hiç bir güvenlik yazılımına yüzde yüz güvenli diyemeyiz.
  
  bu ön yargıyı verdikten sonra biraz nasıl çalıştığına bakalım.
  
  öncelikle antivirüsün temel mantığı bilinen zararlı yazılımların lab ortamında incelenip, bir fingerprintinin çıkarılmasına dayanır. kriptolojide bazı tek yönlü algoritmalar vardır. bunlar, bir hex girdisini aldıklarında o girdiye özgü her biri birbirinden ayrı olacak şekilde uzunluğu sabit ya da bazen değişken çıktılar verir. işte bu çıktılara fingerprint, hashsum, özet gibi ad verilebilir. özellikle herkesin internetten bir şeyler indirirken karşılaştığı "integrity check" yapmak için bazı numaralar vardır:
  
  sha1:606d94258be30ae0bb5a21ad82d8fe4ebe420d04
  
  bu tip bir numara ne işe yarar derseniz, indirdiğiniz url ya da repository de böyle bir kod varsa ve eğer ki bilgisayarınıza indirdiğiniz programı input olarak bu tip bir hash calculatore soktuğunuzda indirdiğiniz lokasyondaki ile aynı ise indirdiğiniz şey güvenli, değiştirilmemiştir, bozuk değildir. bir tane bit i bile değiştirirseniz bu hashsum lar tamamiyle değişir. bu yüzden, hashsum kaynaktaki ile aynı ise indirilen şeyin yüzde yüz kaynağı ile aynı olduğunu kesin söyleyebiliriz. sha1, sha256, md5 vb algoritmalar mevcut, farketmeseniz de bilgisayarınızda hemen her yerde bunlardan biri ya da birkaçı kullanılmaktadır.
  
  bu tip hash fonksiyonları tek yönlüdür. yani bir programı input olarak soktuğunuzda atıyorum yukarıdaki örnekteki gibi bir sonuç çıktı, bunu hiç bir matematiksel yöntemle geri çeviremezsiniz.
  
  genellikle hackerlar iki farklı inputtan aynı hashsum ı bulmaya çalışır ki buna collision denir. hiçbir hash fonksiyonu yüzde yüz unique değildir, (bkz: collision resistance)'larına göre sınıflandırılır, ve teknoloji (işlemci hızı) geliştikçe her birinin collision resistance ı düşmektedir.
  
  asıl konumuza dönersek, kaspesky, symantec, nod32, mcafee vb antivirüs firmaları, merkezlerinde kendilerine bildirilen ya da buldukları zararlı yazılımları alırlar inceleyip bir çok yönden özetini ya da fingerprintini çıkarırlar ve bilgisayarlarımıza yollarlar. olur da indirdiğimiz bir programın hashsum'ı antivirüs veritabanı ile tuttu, işte o zaman antivirüs hemen karantina işlemini başlatır, processleri öldürür, eğer ki özelliği varsa bulaşmış dosyaları temizler.
  
  günümüzde malwareler oldukça gelişti. polymorphic ve metamorphic özellikleri sayesinde kendilerini değiştirebiliyorlar. örneğin elimde bir trojan var, bilinen antivirüsler bunu yakalayabiliyor. trojani encode ederseniz hashsumını da değiştirmiş olursunuz. bu yüzden polymorphic virüsler kendilerini defalarca kez base64, shikata ga nai vb encoding algoritmalarıyla enocode ederler, bu sayede antivirüslerin çoğundan kaçmayı başarabilirler. bunun yanında metamorphicler vardır ki polymorphiclerden daha tehlikelidir bunlar, bunlar da kendilerini baştan yazarlar. dolayısıyla hiç bir yerde olmayan fingerprinti biinmeyen bir virüs olarak antivirüslerden kaçabilirler.
  
  bugün günümüzde bir günde yaklaşık 60000 cıvarı yeni zararlı yazılım çıkıyor. haliyle bunları lab ortamında tek tek fingerprinitini çıkarmak oldukça imkansız. dolayısıyla antivirüsler artık gün geçtikçe işe yaramaz hale geliyor.
  
  fakat, bu tehlikenin karşısında teknolojinin eli kolu elbette bağlı değil, zero day attack( 0. gün saldırıları) lar, daha önce hiç karışlaşılmamış saldırılara verilen addır. bunun önüne geçmek için, sandbox gibi yapılar geliştirilmeye başlandı. bir şey indirdiğinizde size gelmeden önce sandbox bu yazılımı çalıştırır, ki kendisi izole bir işletim sistemidir, zararlı bir aktivite varsa bunu size raporlar ve indirmeyi durdurur. fakat günümüzde malwareler artık o kadar gelişti ki, çalıştığı makinanın gerçek mi sanal mı olduğunu mause hareketlerini gerçekten bir insan mı gerçekleştiriyor bunu bile anlayabiliyorlar.
  
  dolayısıyla gördüğünüz gibi kıyasıya bir kapışma var. buna karşın ise artık güvenlik yazılımları, davranış bazlı analiz, event korelasyonu, process injection, gerçek zamanlı memory ve registry analizi, deep learning gibi bir çok tekniği birleştirerek bir savunma mekanizması geliştiriyor. bu mekanizmada temel alınan şey, fingerprint değil artık, tamamen teknik. data execution prevention, address space layout randomization, return orianted programming gibi bir çok endpoint güvenlik teknikleri kullanılmaya başlanıyor. ve görülüyor ki, 10 binlerce yeni virüs ortaya çıksa dahi kullandığı teknikler hemen hemen birbirinin aynısı, yalnızca 20-30 teknik kullanıyorlar. bu bağlamda teknik bazlı analizler günümüzde ön plana çıkmakta. ancak bir antivirüsün yerini alabilcek olgunlukta değiller.
  
  bilişim dünyasında hiç bir zaman yüzde yüz güvenlik olmayacak. siz bugün bir önlem geliştireceksiniz hackerlar bunu kıracak, bunu farkedip başka bir şey geliştireceksiniz o da kırılacak. siz sanıyormusunuz ki bugün kullandığımız pkı (public key infrastructure) mimarisindeki kriptografik algoritmalar mükemmel güvenli? evet şu an için gerek simetrik gerekse asimetrik kriptografi de diffie-hellman, elliptic curve convolution, 3des, aes gibi güvenliği görece yüksek key exchange, block ya da stream ciphersuite lar yalnızca şu anki işlemcilerin brute force ile kırmasının yüzyıllar almasından kaynaklı bir güvenliğe dayalıdırlar. yarın yüksek hızlı fotonik katmanlı işlemciler çıktığında 1000, 10000 kat artan hızlar karşısında bu kriptografik algoritmalar da yerine daha gelişmişlerine bırakacaktır.
  
  dolayısıyla teknoloji de vahşi bir doğa gibi evrimleşiyor, doğal seçilimler, baskın türler, soy aktarma gibi özellikler taşıdığından mutlak galibiyetten asla söz edemeyiz.
• bu programları kurup da bilgisayarın performansından ödün vermeye gerek yok. merak etmeyin, bilgisayarınıza kolay kolay virüs bulaşmaz. asıl korkmanız gereken virüs değil trojan, keylogger, spyware gibi zararlı yazılımlar. antivirüs programları bu zararlı yazılımları bulamaz. onlar için ekstra programlar yüklemeniz gerekir. lavasoft ve webroot ürünleri bu konularda iyi işler çıkarıyor. bu programlar yüklüyse siz yine de tamamen güvende olduğunuzu düşünmeyin.
• efenim bunların palavraları şöyle tezahür eder: smart scan entel scan dantel scan full scan deep scan scan scan scan
  arar tarar sonunda size 10-15 dosya gösterir sil/göm gitsin gibi seçenekleri seçersiniz ve karşılığında koca bir hiç alırsınız.
  virüsle mücadelenin en etkin yöntemi, yanınıza alacağınız bir beyzbol sopası ile doğu avrupa seyahatidir. misal bugün latvia denen şey neyse oraya gidip birkaç götveren pataklamak istedim.
  eğer bilgisayar bilginiz yoksa size tavsiyem bir an önce formatlamayı öğrenmeniz ve bir daha büyük vendorlar dışında birinin sitesinden birşey indirmemeniz.
  bilgisayardan anlarım windows klasörlerini koklayarak bulurum diyorsanız o scan bu scane girmeyin. yapabiliyorsanız explorer ile; yapamıyorsanız komut satırından virüs kaynaklarını cebren ve hile ile yokedin. anti virüs programlarının saatlerce tarayıp bulamadığı, bulup da silemediği, silince amı götü dağıttığı o şer dosyalarını, 10 satırlık bir .vb script yazarak ebediyete intikal ettirebilirsiniz. misal sistem çok zarar görmedi ve bir iki takla atarak internete bağlanabiliyorsanız şüphelendiğiniz dosya/klasör adlarını google'da aratın. pratik birkaç çözüm çıkabiliyor. 10 dakikada çözülebilecek sorunlar için mega quantum scsi ultra serial ata 3-5 diskinizi boşuna döndürmeyin. onun günleri sayılıdır.
  bu arada halen en iyi yöntem beyzbol sopası.
• belki fakirlikten, belki de cimrilikten dolayı hiç bir zaman orjinaline sahip olmadığım yazılım programlardır. yazılım programı olmayabilir, tam vakıf değilim çünkü bu konulara.
  
  eskiden, yılın belirli günleri bilgisayarları açmazdık virüs saldırısı olacak diye, haberler alırdık açmayın derlerdi çünkü. hatta internet bağlantısı olmayan kuzenim bir kaç sefer açmamıştı bilgisayarını saldırı var diye. öyle zamanlardı işte.
  
  neyse efendim, o zamanlardan beri antivirüs programları kullanır olduk. bilgisayarımız virüs saldırısına uğrasa ya da herhangi bi siteden virüs bulaşsa başımıza neler geleceğini bilmeden kaçtık bundan, korumaya çalıştık kendimizi.
  
  bi çok virüs programlarını denedim o yıllarda;
  avast, norton, nod32, kaspersky, panda, bitdefender falan filan hepsini en az -farklı zamanlarda- bir kaç kere kurmuş, kullanmışlığım vardı. ama ne oldu;
  ya bilgisayar kaldırmadı, ya bi sike derman olmadı o programlar, ya da kullanım süresi bitti... ve ben uzun periyotlarda bunlardan hiç randıman alamadım. hep virüs programı sıkıntısı yaşadım. kısa bir dönem aynı anda iki virüs programı bile kullandım neyimeyse amına koyim iki tane virüs programı.
  
  sonra günlerden bir gün dedim ki kendime;
  olum mimilo sen kimsin lan ? napcan sen virüs programını ? bilgisayarına virüs bulaşsa ne olacak ? porno arşivinden başka kaybetcek neyin var, söylesene ? konuş dostum, susma !
  muhabbet bu seviyeye gelmişti ki, gittim 50'lik boş cd aldım kendime. değer verdiğim müzikleri, fotoğrafları ve en önemlisi uğrunda yıllarca virüs programlarıyla boğuşmuş olduğum porno arşivimin nadide eserlerini yazdım cd'ye. son olarak, taktım xp kurulum siydisini de kurdum yeni işletim sistemimi ve temiz bi sayfa açtım hayatıma. işte o gündür, bugündür kullanmıyorum bu lanet olası programları.
  
  aradan geçen 5-6 yılda, bilgisayarım amansızca çökerse virüsler yüzünden, önemli dosyalarımı kaybedersem eğer nolcak korkusu yaşamadım. çünkü hala aylak bi insan olarak hayatıma devam ediyorum. belki tek korkum fm 2011'deki kariyerimi kaybetmek olur ya da olmaya da bilir sonuçta 2012'si çıktı onun da
• ne kadar oyun crack'i varsa hepsini virüs olarak algılayanları var bunların. en sonunda dayanamadım sildim. virüs girecekse de girsin amk. bi oyun zevki yaşatmadılar adama.
  
  not: çalışmaya başlayınca orijinal oyun alacağım, söz.
• silikon vadisinde çalışan arkadaştan aldığım insider bilgi ile beni oldukça şaşırtan programlar bunlar. çakallıklarıyla senelerdir sürekli olarak hiç kullanmama da bahane oldular, iyi oldu
  
  arkadaşın aktardığına göre, yapılan bir çalışma antivirüs programı dosya taramayı ne kadar hızlı bitirirse kendisine duyulan güvenin de bu oran nispetinde azaldığını ortaya koymuş. bu sebeple bu programlar günümüz şartlarında kısa sürede taramayı tamamlayabilecekken belli oranda kasıtlı olarak yavaşlatılıyor imiş. ne farkın kaldı şimdi senin patron gelince çalışıyor gözükmek için klavyede rastgele tuşlara basan çakal çalışandan?
  
  zaten bir bu bilgi, bir de televizyon üreticilerinin uzaktan kumandalaları tüy gibi hafif yapabilecekken, kaliteli hissettirdiği için kasıtlı olarak ağır yaptığını öğrenmem bu dünyanın nasıl bir yalan dünya olduğunu dank ettirdi. neşet^* baba haklıymış.