Pek çok güvenlik firmasının ve bilişim güvenliği yayının da sık sık duyurduğu gibi sadece hobi amaçlı virüs yazılması dönemi çoktan sona erdi. Günümüz tehditleri ve virüsleri artık tamamen ticarileşen hatta endüstrileşen gruplar tarafından yazılmakta ve yayılmakta. Tamamen organize bir yapıya bürünmüş durumda ve böylece ortalıkta dolaşan zararlı kod sayısı da katlanarak ve hızla artmakta. Rakamlarla anlatacak olursak 2005 yılında Antivirüs laboratuarlarına gelen virus örnekleri 300.000 gibi rakamlarla ifade edilirken 2007 de bu rakam 5.000.000 gibi çok büyük rakamlara ulaşmış durumda.

    Bu gelişme ile birlikte sadece virüs olarak bilinen zararlı kodlar oldukça fazla çeşitlenmiş ve zararlı kodlar (malware) olarak genel bir kavram ile adlandırılmaya başlanmışlardır. Virüs, trojan ve worm v.b. ile sınırlı zararlı kod çeşitleri son yıllarda rootkitler (doğrudan işletim sistemine çekirdeğine erişebilen ve aktifken kendini gizlyebilen zararlı kod), spyware (kullanıcı istemi dışında sisteme yüklenen casus yazılımlar), adware (reklam amaçlı zararlı yazılımlar), botnet (diğer zararlı yazılımlar ile kontrol edilen sistemlerin kötü niyetli bir sunucu aracılığı ile birleştirilmesi ve yönetilmesini sağlayan zararlı yazılımlar) gibi yepyeni zararlaı kod çeşitleri eklenmiştir.

    Ayrıca yukarıda bahsettiğim organize çalışma şekli ve endüstrileşme ile birlikte aynen antivirüslerde olduğu gibi hazır özelleştirilebilir saldırı paketleri özelleştirilebilir ve kolay kullanımlı zararlı kod oluşturma programlarının oluşmasına yolaçmıştır. Bu tür yazılımlar zararlı kod üretmiini kolaylaştırarak gerekli teknik yetkinliğe sahip olmayan kişiler tarafından bile kolayca zararlı kod üretmeye olanak vermişler ve bunun sonucu olarak zararlı kod sayısı daha önce görülmemiş sayılara çıkmıştır.

    Virüs yazarları tarafında yaşanan bu gelişmeler Antivirüs endüstrisinin işini her geçen gün daha da zorlaştırmakta ve sektörü yeni çözüm yoları bulmaya sevk etmektedir. Bu durumda antivirüs endüstrisinin ilk verdiği tepki daha sık güncelleme çıkararak karşılık vermek oldu. Sadece birkaç yıl önce haftada 1-2 olan güncelleme sayısı bugün sadece günde 2-3 güncellemeyi bulmuş durumda.

    Ancak bu kadar sık güncelleme program boyutlarının büyümesi, daha uzun tarama zamanı, daha yüksek bellek kullanımı, geç tepki süresi ve daha fazla hatalı tespit gibi sorunları da beraberinde getirmekte.

    Bu nedenle Antivirüs endüstrisi zararlı yazılımlarla (malware) ile mücadelede farklı yöntemler geliştirmeye ve bunları uygulamaya başladılar. Bu noktada en uzun geçmişe sahip olan ve en geniş uygulama alanı bulan yöntem sezgisel tarama (heuristics) olarak adlandırılmakta. Bu yöntemde erişilen, oluşturulan, değiştirilen tüm dosyalar sanal bir makinede çalıştırıldıklarında ortaya çıkan sonuçlar değerlendiriliyor ve bu sonuçlara göre virüs olup olmadığı yapay zeka aracılığı ile tespit edilmeye çalışılıyor. Bu yöntemin en büyük avantajı iyi optimize edilmesi durumunda bilinmeyen veya yeni çıkmış (0 gün saldırıları) virüslere ve zararlı yazılımlara karşı en hızlı yöntem olmasıdır. Ancak sezgisel tarama yöntemi yeteri kadar iyi optimize edilemez ise virüs olmayan dosyaların virüs olarak algılanması demek olan hatalı tespitlere (false positive) yol açar.

    Bu yönteme ek olarak davranış analizi, kod emülasyonu, jenerik imzalar gibi proaktif koruma yöntemleri de kullanılmakta. Ayrıca varolan antivirus ve antispyware özelliklerine saldırı önleme sistemi (HIPS), firewall, antispam gibi teknolojileri de ekleyerek koruma kapsamlarını biraz daha genişletmekteler. Bu yöntemlere her geçen gün yenileri eklenmektedir.

    Pek çok kez antivirüslerin işe yaramadığı veya öldüğü dile getirilmesine rağmen yukarıda saydığım yöntemler sayesinde Antivirüs endüstrisi halen dimdik ayakta ve antivirus (ya da yeni tanımıyla antimalware) halen zararlı kodlara karşı en verimli çözüm olarak önümüzde durmaktadır.

    Bundan sonraki süreçte virüs yazarları ne kadar farklı yöntemler kullansalar da çok yüksek bilgi birikimine ve yüksek kalite de işgücüne sahip Antivirüs endüstrisi yeni çözümlerle bu sorunların üstesinden gelmeyi bilecek ve hızla çoğalan bilgisayar kullanıcılarının kendilerini güvende hissetmelerini sağlayacaklardır.


www.stratus.com.tr
www.nod32.com.tr