Guvenlik

Emre Tinaztepe’den İsinize Yarayabilecek İpuclari

04 Ağustos 2013

Comodo Malware Analizi Ekip Lideri Emre TINAZTEPE’ye işinize yarayabileceğini düşündüğümüz birkaç soru sorduk cevapladı. Soruları ve cevapları yayınlamadan önce şunu belirtmekte fayda var. Bu soruların ve cevapların hiçbiri COMODO Antivirüs ile ilişkili sorular değildir. İlişkilendirilmesi kesinlikle doğru olmayacaktır.

 

Emre Tınaztepe

Emre TINAZTEPE

 

1- Çeşitli zararlı yazılımları (Ratlar, Spyware’lar vb.) fudlayarak antivirüslere %100 görünmez yapmak nasıl mümkün olabiliyor?

Evet mümkün, fakat bir noktaya kadar.  Zararlı tespitinde bir çok aşama var, bu aşamaların bazılarını FUD uygulamaları ile undetect etmeniz mümkün olabilir.
Örnek vermek gerekirse, bir işlemi yapmak için birden fazla yol seçmek, yeni uygulamalar başlatarak eylemi parçalara bölmek, çeşitli notification mekanizmalarını kullanarak farklı zamanlarda farklı eylemleri
gerçekleştirerek “şüphe seviyesini” geçmeden ilerlemek mümkün olabilir.
Bunu aynen bir suçlunun düzgün giyinerek polisin dikkatini çekmemeye çalışmasına benzetebilirsiniz. Kıyafet bir noktaya kadar etkili olur fakat suçlu yeterince sabretmez ise
eninde sonunda hal ve hareketleri ile dikkat çekecek ve yakalanacaktır. Çok sabırlı olması durumunda diyelim ki “yerel” polisten bir şekilde kaçtı, ve hazırlandığı eylemi gerçekleştirdi.
Misal, bir C&C sunucusuna sistemden alınan bir veriyi gönderdi. Bu veri AV tarafından tespit edilebilir, ya da sunucunun adresi zaten daha öncede kullanılan bir eylemle ilişkilendirilmiş olabilir.
Ya da beklenin dışında bir veri gönderilmesi, gateway AV’nin dikkatini çekebilir ya da gümrük polisine takılır 🙂

2- Bir Anti Virüs yazımında geçen aşamaları kısaca anlatır mısınız?
Bir antivirüs geliştirmek için öncelikle günlük analiz laboratuarına sahip olunması gerekmektedir. Zararlı yazılımların analizinde uzmanlaşarak kullanılan tekniklere tamamen hakim olduktan sonra
bu teknikleri tespit edebilecek yazılımların hazırlanması aşamasına geçilir. Bu aşamada hedef alınan sistemin nevi çok önemli olup, sistem hakkında ileri seviyede bilgiye sahip olunması gerekmektedir.
Zararlı yazılımlar genel olarak belirli bir işletim sistemini hedef alınarak yazılır ve onlar da normal yazılımlar gibi işletim sisteminin kendilerine sundukları arabirimleri kullanarak çalışırlar. Bu arabirimlerin çok iyi tanınması
gerekmektedir. Antivirüs teknolojisi bir çok disiplini kapsamaktadır, bunlar arasında arama algoritmaları, veri madenciliği, emülasyon, sanallaştırma gibi disiplinlerden bahsetmek mümkündür. Velhasıl, Antivirüs
geliştirmek kısa süreli bir iş değil, sabır ve ciddi bir Ar-Ge isteyen çok özel bir iştir.

3- Kendimize en iyi anti virüsü nasıl seçmeyeliz?
Test sonuçları, fiyat & performans ve kullanılabilirlik gibi değerlendirmeleri inceleyerek karar vermenizi tavsiye ederim. Test sonuçlarında dikkat etmeniz gereken “tarafsız” kuruluşların testlerinin olmasıdır.
Maalesef bazı kuruluşlar bu işi tamamen gelir kapısı haline getirdikleri için kullanıcıları yanlış sonuçlar ile etkilemeye çalışmaktadırlarlar.

Emre TINAZTEPE

You Might Also Like

Henüz Yorum Yok

Bir Yorum Bırak

fourteen + 16 =