Öncelikle size kısaca yazımızın genel konusu olan exploit’ten bahsedelim. Wikipedia’ya göre tanımı şudur; Exploit (İngilizce: to exploit – kötüye kullanmak) bir bilgisayar programıdır veya bir script, bilgisayar programlarında bulunan zayıflık veya hatalar için kullanılır.
Kısaca özetlememiz gerekirse, programdaki açıkları kullanarak bilgisayarınıza zarar verme işlemine exploit diyoruz. Yazımızın geri kalanında sömürülebilir ve zarar vermeye açık olarak bahsedeceğiz.
Şimdi, Adobe Flash hakkında ne düşündüğünüzü söyleyin, cevabınıza göre siber güvenlik işinde çalış çalışmadığınızı söyleyelim. Birçok insan için Flash sadece izlemek istediği videolardan önce tarayıcının güncellemek istediği bir şey. Teknik açıdan bilgili olanlar ise güvensiz platformlarda gelen güncelleme isteklerinin hasara yol açabileceğinin farkında.
Aslına bakarsanız, Adobe Flash bizim 2015’in en sömürülebilir (zarar vermeye açık) programlarımız listesinde başı çekiyor. Bu listedeki diğer popüler programlar ise Java, Adobe Reader, Microsoft Office ve Silverlight. Ama Flash’ın listedeki en popüler program olmasının sebebi, hayli fazla şekilde güvenlik açıkları olması ve kullanıcılar tarafından sık sık güncellemesi gerekmesine rağmen güncellenmemesi.
Bu arada Kaspersky Lab’ın bu tarz exploitleri engelleyen, özellikle Flash’ın açıklarına etkili şekilde durdurabilen teknolojimizin patenti olduğunu belirtmekten mutluluk duyarız.
Birçoğunuzun farkında bile olmadığı büyük tehlike olan Bad USB’ler için bizim çözümümüz https://t.co/Th0Lk8S3MT pic.twitter.com/VOhqs56eZn
— Kaspersky Türkiye (@KasperskyTR) July 15, 2016
Flash’ın expolitleri neden farklı?
Hemen cevap verelim. Kısaca cevap vermek için öncelikle geçmişe göz atalım. Temel olarak bilgisayarınıza zarar vermenin iki yolu var. İlk yöntem, sizin direkt olarak etkin olmanız: zararlı yazılımları indirmeniz, çalıştırmanız, zararlı linke tıklamanız vb.
İkinci yöntemde ise hiçbir şey yapmanıza gerek yok. Bu senaryoda ise, siber suçlular işletim sisteminizde ya da kullandığınız herhangi bir programda zarar vermeye açık bir nokta arıyorlar. Eğer internet tarayıcınızın zarar vermeye açık noktası varsa, sadece bir tane zararlı internet sitesine girmeniz yeterli olacaktır. (Blog takipçilerimiz ne kadar çok zararlı site olabileceğinin farkındadır.)
Siber suçlular arasında en kolay olması sebebiyle en popüler yöntem web site exploitleri. Aslında zarar vermeye açık olup olmaması pek önemli değil; genellikle Java ya da Adobe Flash Player bileşenlerine erişim sağlamaları yeterli oluyor, çünkü bu bileşenler internet sitedeki videoları oynatmaktan sorumlu kısım.
#exploit kits spreading attacks for recent #Flash player zero day via @threatpost https://t.co/0s3GOKldGz pic.twitter.com/H5029jCqd1
— Kaspersky (@kaspersky) May 23, 2016
Flash ile açılan videoları program ile açılmış dosyalar olarak düşünmeyin, kendileri de programmış gibi düşünün. Sisteminizdeki Adobe Flash bileşenleri yardımıyla, internet sitesindeki diğer içeriklerle beraber indirilir ama ayrı ayrı yürütülür. Basit gözükebilir ama işleme prosedürü aslında biraz karışıktır. Bu programları güvenli çalıştırmak için, Adobe Flash kendi sanal ortamında çalıştırır – diğer bir deyişle, bu program bilgisayarınızın içinde oluşturulmuş sanal bir bilgisayarda çalışırlar.
Yani sanal makine Flash’ı güvenli hale getiriyor?
Harika bir soru! Flash dosyaları korunmuş sanal ortamda çalıştırıyor, çünkü internetin herhangi bir yerinden gelen kodları çalıştırmak zararlı olabilir. Tüm kodları sanal makinede çalıştırmak şu anlama geliyor, eğer internetten herhangi bir kod bilgisayarınıza bir şey indirmeye çalışırsa, dosyalarınıza, belgelerinize ya da kritik sistem birleşenlerine erişemez. Evet, teorik olarak bu doğru. Ancak pratikte, exploitler Flash’ın sanallaştırma gibi güvenlik aşamalarını, yine Adobe Flash’ın açıklarını kullanarak aşabiliyorlar.
Wait for it… #Adobe patches 52 #flash vulnerabilities via @Mike_Mimoso https://t.co/qyhs7rY2b8 on @threatpost #IT pic.twitter.com/Qu8D4MeLpp
— Kaspersky (@kaspersky) July 12, 2016
Başka bir konu: Flash programının sanal makinesi ve bu dosyaların yapısı, onların kötü niyetini sistemden gizler. Hackerların her kurban için ayrı ayrı eşsiz dosyalar hazırlaması bile mümkündür.
Bu da geleneksel anti virüs programlarının tehdit algılama özelliği için özel bir sorun oluşturur – genellikle tehdit algılama özellikleri inanılmaz büyüklükteki ‘daha önce bulunmuşlar’ listesine dayalıdır. Milyonlarca exploit aynı şekilde işler, ama güvenlik çözümü için, çok daha farklı görünürler. Dahası, Adobe Flash programları herhangi bir programlama dilinde yazılabilir, ve bu noktada sistemin zararlı içerikleri bulmasından sorumlu kısma Flash’ın olması gereken dosyaları arasında tanımlar.
Eğer dosya isimlerine güvenmiyorsanız, ve sanallaştırma çevresi de güvenli değilse, ne yapabilirsiniz?
Bu soru güvenlik uzmanlarını kafasını uzun bir süre karıştırdı. Zararlı kodlar çalıştırılmadan önce tanımlamak zorundayız. Teorik olarak, Adobe Flash kodu çalıştırmadan önce kendi sanal makinemizde çalıştırabiliriz, ama bu yaklaşım pratikte çok karmaşık ve günlük kullanım için uygun değil.
Eğer exploit olduğundan şüpheleniyorsanız…
İşte burada Kaspersky Lab’ın yeni teknolojisi devreye giriyor. Anton Ivanov ve Alexander Liskin tarafından yaratılan bu teknoloji, şüpheli kodu canlandırmaya dayanıyor. Bu yöntemimiz çoklu benzer objelere ufak farklılıklarla sahip olan kodları daha az zamanda analiz edebiliyoruz. Geliştirenler sanal yığın makinesi yaklaşımında bulundular, kodu çalıştırmayıp kod hakkında bilgi topladılar.
Ortaya şu çıktı, zararlı Flash objelerinin zararlı olduğunu anlamak için çalıştırmak gerekmiyor. Zararlı yazılımı geliştirenler kodun neredeyse her parçasını tek tek değiştirse de, bizim yöntemimiz uygulandığında programın kötü niyetini gizleyemiyorlar.
Sonuç olarak, Flash’ın açıklarını nasıl kullandıklarını bildiğimiz için, otomatik olarak aynı yöntemi kullanan bütün zararlı yazılımları engelleyebiliyoruz. Bu teknolojiyi Kaspersky Internet Security ve Kaspersky Total Security ürünlerimize eklediğimizden beri, bu konudaki tehdit algılama oranımız iki kat arttı.
Durumun önemini daha iyi anlamanız için ufak bir bilgi: Anti virüs firmaları tehdit algılama oranlarını yüzde bazında arttırmak için bile inanılmaz çaba harcarken; tehdit algılamayı iki kat arttırmak gerçekten şok edici bir olay.