Virüs, malware nedir? Nasıl korunmalı?

Bilgisayarların, akıllı telefon ve tabletlerin, kullandığımız uygulama ve özellikle internetin günden güne hayatımızda daha fazla yer aldığını ve bunun artarak devam edeceğini biliyoruz. Artık cebimizdeki akıllı telefonla banka işlemlerinden tutun da bir çok resmi işlemlerimizi dahi internet üzerinden kolayca gerçekleştiriyoruz. Böylece  hem zaman olarak hem de maddi bir tasarruf sağlıyoruz. Yani kısaca teknoloji hayatımızı kolaylaştırıyor. Ama tabi hayatımızı kolaylaştıran teknoloji ürünleri doğru şekilde çalışıyorsa. Yoksa yaşayabileceğimiz bazı kötü tecrübeler tadımızı kaçırabilir. Bu kötü tecrübe kişisel eposta hesabınızın ya da kredi kartı bilgilerinizin ele geçirilmesi olabileceği gibi iş hayatınız içinse telafisi mümkün olmayabilecek kayıplara da neden olabilir.

Muhtemelen birkaç yıl sonra Maliye Bakanlığı e-fatura mükellefiyetini kobilerin altında bütçeye sahip esnaf için de zorunlu kılacak. Tabi bunun yanında sonradan e-irsaliye, e-defter ileride e-arşiv v.s. de geliyor. Saydığımız bu e’li şeylerin ise arkasında üzerlerinde çalıştıkları sunucu ve bilgisayarlar var. Bu sunucu ve bilgisayarlar işlevlerini internet üzerinden diğer sunucu ve bilgisayarlarla ve eğer yatırımınız varsa müşterilerinizle ya da iş ortaklarınızla veri alışverişi şeklinde sağlıyor. Tabi bu veri iletişim kanalları bu süreçlerden ibaret değil. Bunun yanında eposta ya da sosyal medya hesaplarımıza hergün birkaç zararlı ek ya da link içeren iletiler düşüyor. Kullandığınız eposta uygulamaları ve varsa arkasında çalışan güvenlik kuralları ise bizi bu noktada korumak için çalışıyor. Tabi ücretsiz bir outlook.com (hotmail) ya da bir gmail hesabı kullanmıyorsak. Bu cümle ile anlatmaya çalıştığım şey bu hizmetlerin güvenli olmadığı değil sadece maksimum güvenlik istiyorsanız Outlook.com yerine Office365 ya da ücretsiz bir Gmail hesabı yerine ise Google for Work (Eski adıyla Google Apps) kullanabileceğiniz. Kurumsal eposta hizmeti olan bu çözümler beraberinde Microsoft ATP gibi gelişmiş tehdit koruması içeren aktif güvenlik tedbirleri sağlıyor. Ayrıca kurumsal hesaplar için veri kaybına karşı arşivleme ve diğer bazı birçok güvenlik opsiyonuna sahip oluyorsunuz. Yönetilebilir bir hizmet olacağı için de barındırılan hesap olarak adlandırılan bu tür bulut eposta hizmetleri için gelişmiş özelliklere sahip güvenlik uygulamaları bulunuyor. Bu konuda bir tavsiye istenecek olursa ilk aklıma gelen Symantec Email Security.cloud ve TrendMicro HES(Hosted email security) ürünlerini incelemenizi öneririm.

Son zamanlarda crypto locker, wanna cry, petya gibi zararlı yazılımlara dair çok sayıda haber gündemi meşgul etti. Sebebi ise günden güne hayatımızda daha fazla yer alan internetin artık daha ciddi riskler içeriyor olması.Bu sayede haberlere konu olan bir diğer şey ise güvenlik ürünleri üreticisi belirli firmaların hisselerinin adeta uçuşa geçmesi oldu. Her ne kadar bunun arkasında bazı komplo teorileri aranıyor olsa da artık bugünlerde bir bankayı silahlı adamlarla soymak demode bir yöntem. Bu yüzden paranıza göz diken art niyetli insanlar artık daha az riskli ve daha kazançlı bir yöntem olan siber saldırılarla sonuca gitmeye çalışıyor.

Yukarıda da örneklendirmeye çalıştığım riskler için kurumsal firmalar zaten gerekli tedbirleri alıyor ve hatta periyodik çalışmalarla güvenlik sistemlerini de testlere tabi tutuyorlar. Sizce milyonlarca dolarlık cirolara sahip bu firmalar daha fazla üretim yatırımı yapmak yerine neden IT bütçeleri için bu kadar para harcıyor. Elbette yatırımlarının zarara uğramaması için. Çünkü artık eskiden bir çoğumuzun sadece virüs olarak adlandırdığı zararlı yazılımlar bugün özenle hazırlanmış çok tehlikeli yazılımlara evrilmiş durumda. Üstelik bugün genel olarak malware şeklinde adlandırılan bu tehlikeli yazılımların arkasında artık yapay zeka var. Bu etken riski daha da artırıyor. Çünkü aldığınız güvenlik tedbirlerine karşı yapay zeka sayesinde hamle yapabilen tehlikeli yazılımlarla karşı karşıya kalabiliyorsunuz. Genel olarak fidye yazılımı şeklinde adlandırılan bu zararlı yazılımların işlevi ise bilgisayarların kapatılmamış güvenlik açıklarından yararlanarak verilerinizi ve sistem dosyalarınızı güçlü bir algoritma ile şifrelemek. Üstelik genellikle 256bit’lik güçlü bir şifrelemeden bahsediyoruz. Buradaki amaçsa verileriniz karşılığında sizden maddi çıkar sağlamak. Bu nedenle fidye yazılımı olarak adlandırılan bu zararlı yazılımlar ödeme içinse Bitcoin gibi sanal ödeme yöntemlerini kullanarak ödeme yapmanızı istiyor. Sebebi ise elbette Bitcoin gibi sanal para hareketlerinin takip edilmesinin neredeyse imkansız olması. Ödemeyi yapmış olsanız dahi verilerinize erişebileceğinizin bir garantisi bulunmuyor. Bu şekilde verilerinin yanında internet korsanlarına yaptıkları ödemelerle de zarara uğrayan birey ve işletmeler var.

Peki ticari işletmeler ve kurumlar bu risklere karşı nasıl tedbirler alıyor ya da almalı?

Temelde dikkat etmemiz gereken ilk şey güncel olmaktır. İnternete erişsin erişmesin her cihazın üzerinde çalışan uygulama ve işletim sistemlerinin özellikle güvenlik güncellemelerinin otomatik olarak yüklenmesi ve güncelleme hatalarının ertelenmeden giderilmesi önemlidir. Yazılım güncellemeleri sadece işletim sistemleri için değil kullanmakta olduğunuz internet explorer, firefox ya da chrome web tarayıcıları ve eklenti uygulamalar olan Flash player ve Java’yı da kapsar. Bu nedenle bazı bankalar ve bazı kurumlar belli bir versiyon altındaki web tarayıcılarla oturum açmanıza izin vermez. Yani alınan tedbir güncel olmayan bir web browser ya da Flash & Java uygulamasında yer alan güvenlik açıklarına karşıdır. Tespit edilen güvenlik açıklarına karşı yazılım üreticisi firmalar düzenli olarak güvenlik yamaları yayınlayarak işletim sistemleri ve uygulamaların risklere karşı korunmasız kalmamasını sağlamaya çalışırlar. Eğer bu güncellemeler yüklenmez ya da ertelenirse risk almış olursunuz. Örneğin wannacry’ın kullandığı SMB 1.0 güvenlik açığı için Microsoft’un daha önce yayınladığı güvenlik güncellemelerine sahip cihaz ve sistemler bu tehditten etkilenmemiştir. Ancak kısa süre sonra zararlı yazılımın güncellendiği ve güncel sistemleri de hedef alabilecek bir saldırı planlandığı haberleri yayınlamaya başladı. Gördüğünüz gibi artık sadece işletim sistemleri ve uygulamalar değil zararlı yazılımlar da güncelleniyor.

Microsoft riskin ölçeğini de dikkate alarak yıllardır destek vermediği emektar Windows XP için dahi apar topar güvenlik yamalaları yayınladı. Windows 10, Windows 8 ve 7 işletim sistemleri ise güvenlik güncellemelerini zaten alıyordu.

Bugünün belkide en büyük nimeti olan web yani internet risklerin kaynağını oluşturuyor. Bu nedenle internete çıkan her bir cihazın IPS ve IDS özelliklerine sahip güvenlik duvarı yazılımlarında tanımlanmış kurallarla tehditlere karşı korunması gerekiyor. Bu adım internetten gelebilecek riskleri büyük ölçüde engelleyecek etkendir. Az önce ismini saydığımız zararlı yazılımların çalışma mantıklarını biraz olsun merak edip araştırdığınızda güvenlik duvarınızda tanımlayacağınız basit birkaç kuralla korunmak adına ilk adımı atmış olacaksınız. Bu adımları sadece dışarıdan içeriye değil içeriden dışarıya kuralları da gözden geçirerek atmalısınız. Eğer güncel ve işletmeniz için uygun bir güvenlik duvarı tercih etmiş ve doğru şekilde yapılandırmışsanız ve de güncel riskleri göz önünde bulundurarak güvenlik duvarınızdaki kuralları güncelliyor ya da yeni kurallar yazıyorsanız bu adımı geçebiliriz. Ama işletmeler için riskin her zaman daha fazla olduğunu bilerek kullandığımız uygulama ve işletim sistemlerine ait güvenlik risklerini analiz etmeyi unutmayın. Ayrıca güvenlik duvarınız için destek aldığınız bir firma varsa kesinlikle kurulum sonrası haliyle bırakmak yerine ürünü tanıyıp öğrenmeye çalışın ve ürünün doğru şekilde yapılandırıldığına emin olun. Unutmayın ki siz talep etmediğiniz sürece kimse sizin için ne yorulur ne koşturur.

Sonraki adım ise eposta sunucunuz ve güvenlik duvarını bir şekilde aşabilecek zararlı bir link ya da ekin networkünüzde yer alan bir cihazda tıklanması ve çalıştırılmasının engellenmesi. Bu aşama için de atılabilecek adımalar ise temelde iyi şekilde yapılandırılmış ve en önemlisi başarılı ve güncel bir veritabanına sahip endpoint güvenlik yazılımı kullanıyor olmanız. İşletmeler için mantıklı olansa özellikle merkezi şekilde yönetilebilir ürünlerin kullanılıyor olması. Bu sayede zararlı bir yazılıma maruz kalan cihazdan anında haberdar olabilir ve sonraki aşamalarda sizi daha fazla uğraştırabilecek bu sorunu izole edebilir hatta riski otomatik olarak ortadan kaldırabilirsiniz. Eğer işletmeniz için uygunsa cloud server üzerinde çalışan yönetim konsoluna sahip endpoint çözümü harika bir çözüm olabilir. Bunun en büyük avantajı ise tüm clientların tehdit tanımlarını anlık olarak merkezi bir sunucudan alıyor olmasıdır. Bu nedenle hem güncelliğiniz maksimum seviyeye çıkar hem de işletme dışında mobil şekilde çalışan clientlarınız için daha hızlı ve etkin bir yönetim avantajı sağlamış olursunuz. Bu tip çözümlerin bir diğer avantajı ise bu konuda bir deneyime sahip değilseniz sizin için önceden tanımlanmış güvenlik profilleri ile geliyor olmasıdır. Webmailinize düşen zararlı ve henüz çok yeni yayılmaya başlamış bir tehdidi engelleyerek sizi bilgilendirdiğinde şaşırabilirsiniz.

Ancak sunucularınız ve internete çıkmayan cihazlarınız için cloud bir yönetim konsoluna sahip çözüm yerine local bir sunucuda çalışan bir endpoint çözümü daha mantıklıdır. Bu tercihin başka bir avantajı ise tehdit tanımlarının sadece merkezi güvenlik sunucusu üzerinden wsus server gibi download edilerek local kullanıcılara içerideki tek bir noktadan dağıtıyor olmasıdır. Bu sayede internet hizmetinizin bant genişliğinizi daraltmamış olursunuz. Ayrıca local bir yönetim konsolu size cloud alternatifine göre daha fazla yönetim fonksiyonu sunar. Tak çıkar aygıtların engellenmesi ya da read only çalıştırılması gibi. Ayrıca bir grup ya da kullanıcıya gönderdiğiniz komutu anında işletebilir ve zaman kazanabilirsiniz. Bu nedenle Cloud çözümler size local yönetim çözümünün özellik anlamında kırpılmış bir versiyonu gibi görünebilir. Bu noktada dikkat edilmesi gereken hangi hizmetin sizin için uygun olduğudur. Bu konuda ilk aklıma gelen ürünler ise Symantec Endpoint Security, Trend Micro Worry-Free & Officescan şeklindedir. Ancak bu konuda kendinizi biraz paranoyak hissediyor ve alternatiflerini de görmek istiyorsanız özellikle Sophos Endpoint Protection ve Panda Adaptive Defence çözümlerini incelemenizi ve demolarını test etmenizi öneririm.

Bazı güvenlik uygulamalarında sandbox olarak adlandırılan bir özellik te mevcut. Sandbox tıklanan linklerin ve uygulamaların güvenlik sunucusunda test edilmesi ve güvensiz olarak tanımlanmazsa ancak o zaman kullanıcı için erişilebilir olmasını sağlayabiliyor. Bu özellik riski tamamen ortadan kaldırıyor diyemeyiz ancak riski azaltacak bir tedbir olduğu kesin. Bazı layer 8 fonksiyonlarına sahip utm sınıfı güvenlik duvarları da bahsettiğimiz bu risklere karşı benzer özelliklere sahip hazır kurallarla sisteminizi korumanıza yardımcı oluyor. Ancak güvenlik duvarınızın da güncel riskleri tanıyabilmesi için elbette güncel olması önemli. Bu nedenle güvenlik duvarınızın tehdit tanımlarını otomatik olarak aldığından ve güncel bir firmware ile sağlıklı bir şekilde çalıştığından emin olmalısınız.

Daha sonraki ve olmazsa olmaz adım ise önemli verilerimiz için uygun bir yedekleme çözümüdür. Çünkü alacağımız her türlü tedbire karşı bizi sadece zararlı yazılımlardan değil fiziksel tehditlere karşı da garanti altına alacak tek şey verilerinizin doğru şekilde yedeklenmesidir. Olurda aldığınız her tedbire karşı bir veri ve uygulamalarınız erişilemez duruma gelirse yedekleme çözümleri veri ve sisteminizi tekrar erişilebilir hale getirmenize yardımcı olur. Bunun yanında kurumsal firmalar sadece veri yedekleme yerine replikasyon olarak adlandırılan çalışan sistemin uzak bir noktada yedeklenerek çalıştırılması gibi bir yatırım da gerçekleştirirler. Bu yatırım çalışan sistemin zarar görmesi durumunda yedekli replikasyon noktasından neredeyse hiç kesinti olmadan çalışmasına imkan tanır. Büyük sunucu kümeleri ve kritik iş süreçleri için cluster yatırımı ile birlikte olmazsa olmaz bir çözümdür.

Peki iş süreçlerinin söz konusu olmadığı ve sadece bireysel bir bilgisayar ve internet kullanıcısı bu risklerden ne ölçüde ve ne kadar korunabilir?

Yukarıda saydığımız tedbirleri elbette çalışma odamızı sistem odasına çevirerek evimizde de alacak değiliz. Ama benzer adımları basit ve çok küçük bütçelerle atabiliriz. Ev ya da home office ortamında çalışan küçük networkler için de yine güncel kalmak atmamız gereken ilk adım olacak. Eğer hala Windows XP ya da Vista kullanıyorsanız artık işletim sisteminizi değiştirmenin zamanı gelmiş demektir. Maksimum güvenlik istiyorsanız ve Windows platformunda çalışmak gibi bir zorunluluğunuz yoksa Windows’a alternatif işletim sistemlerini kullanmayı değerlendirin. Linux ve Mac OS X gibi. Kullandığınız işletim sistemi her ne ise güncellemelerini eksik etmeyin. Bilgisayarınızda orijinal lisansa sahip bir işletim sistemi çalışıyor olsun ve mutlaka internet security olarak isimlendirilen ve antivirüs veritabanına sahip bir güvenlik uygulaması kullanın. Bireysel kullanım kapsamında bir bilgisayar için bir güvenlik uygulamasının yıllık maliyeti ortalama 60-100TL civarındadır. Hatta kişisel cihazlar için 1-5 cihaza kurulabilen maliyet avantajlı lisanslarla kendinizi koruma altına alabilirsiniz. Birçok firmanın ücretsiz kullanıma sunduğu antivirüs uygulamaları ne kadar bir noktaya kadar zararlıları bulup silse de olsa da antivirüs yazılımları genellikle bilgisayarınıza zararlı bir yazılım bulaşmasını engelleyemez. Eğer riski bilgisayarınıza bulaşmadan önce engellemek istiyorsanız internet security özelliğine sahip ücretli bir ürün tercih etmelisiniz. Daha sonra bilgisayarımızı temizlemeye çalışmaktansa riskin bilgisayarımıza erişmesini engellemek daha mantıklı değil mi?

Artık bazı internet security sınıfındaki güvenlik uygulamalarında da IPS gibi gelişmiş özellikler mevcut. Ama bu tür gelişmiş özellikler bireysel kullanıma yönelik güvenlik ürünlerinde malesef gerçek anlamda bulunmayacağı için tıkladığımız linkleri ve açmaya çalıştığımız ekleri güvenli bir yerden geldiğini düşünmüyorsanız kesinlikle açmayın. Zararlı yazılımlar ilginizi çekebilecek başlık ve içeriklerin arasına gizlenmiş bir link olabileceği gibi özellikle müstehcen içeriklere sahip sitelerde yer alan görsel ve video linklerinden yayılmaktadır. Bu nedenle birçok güvenlik çözümünde engellenmesi gereken ilk kategori grubu pornografi içeriğine sahip sitelerdir.

Bunun yanında yabancı bir taşınabilir diski ya da flash belleği bilgisayarınıza bağladığınızda içindeki herhangi bir dosya ya da belgeyi açmadan önce mutlaka güvenlik yazılımı ile taratın.

Tatsız bir duruma karşı önemli verilerinizi sadece bilgisayarınızda saklamayın. Verileriniz için ihtiyacınıza uygun bütçede küçük bir yedekleme diski alın ve verilerinizi bu diskte muhafaza edin. Bazı taşınabilir yedekleme disklerinde otomatik olarak belgelerinizi yedekleyebilen ücretsiz yazılımlar da gelmektedir. Resim ve video ve diğer belgelerinizi Google Drive, One Drive gibi online ve ücretsiz yedekleme çözümlerinde de barındırabilirsiniz. Bu yöntem hırsızlık, donanım arızası gibi tehditlere karşı da verilerinizi korumanızı sağlar.

Bu tür risklere karşı alabileceğimiz en iyi tedbir bilinçli bir kullanıcı olmaya çalışmaktır. Alınabilecek her türlü güvenlik önlemine karşı en büyük risk her zaman için malesef bilinçsiz kullanıcılardır. Unutmamalıyızki bize hizmet eden teknoloji ürünleri sağlıklı şekilde çalıştığı sürece bize yarar sağlayacaktır.