Fidye yazılımı: Buna karşı en iyi ne koruma sağlar?

Neden olduğu zarar, şeytani düzeyde bir karmaşıklık ve dünya manşetlerini süsleme açısından günümüz siber dünyasının 1 numaralı en rahatsızlık veren baş belası can sıkıcı konu nedir? Tahmin edebilir misiniz?..

Ah, bunu yazının başlığında söylemiş olabiliriz, neyse evet, tabi ki bu fidye yazılımı (diğer bir deyişle kripto kötü amaçlı yazılım, ancak ben daha basit, söylemesi daha kolay ve profesyonel terim olan ‘fidye yazılımı’ ile devam edeceğim).

Şöyle ki: Fidye yazılımı, kötüdür. Peki ne kadar kötü?..

Aslında oldukça kötü ve yıllardır sürekli olarak kötü olmaya devam ediyor, dijital olan her şeye çok derinden nüfuz etti ve pek çok büyük işletme (dolaylı olarak sebep olduğu insan ölümleriyle) bu durumdan bunaldı ve (büyük işletmeler) o kadar büyük tutarlarda fidye ödemeler yaptılar ki, dünya medyası artık buna neredeyse ilgi göstermemeye başladı. Her gün yaşanan sıradan bir olaya dönüşerek manşetlerden düştü. Ve hepsinden endişe verici olan da şu: Siber pislikler (böyle bir dil kullandığım için özür dilerim ama bu insanları tanımlamanın en iyi yolu bu) kazanıyor; siber gaspçılar, görünüşe göre günümüzün dijital dünyasının kaçınılmaz bir gerçeği haline geliyor ve bu konuda yapılabilecek hiçbir şey yok gibi görünüyor.

Ve şu üç nedenden dolayı kazanıyorlar:

Üçüncüsü (sondan başlayacağım): ‘büyükler’ hâlâ okul bahçesindeki jeopolitik oyunlarına devam ediyor, bu da ulusal siber polislerin koordinasyon içinde arama, yakalama, tutuklama faaliyetleri ve fidye yazılımı operatörlerini suçlama konusunda operasyonel bilgi alışverişinde bulunmasını engelliyor.

İkincisi: Kullanıcılar, bu tür saldırılara cevap verecek kadar hazırlıklı – güçlü değil.

Ve birincisi (en önemlisi): Tüm deterjanlar aynı değildir, fidye yazılımı önleme teknolojileri – uzun bir süredir – aynı etkinlikte değildir.

Çoğu zaman, siber güvenlik çözümlerinde yer alan fidye yazılımı önleme teknolojilerinin etkili olduğu iddia edilir. Ancak pratikte, söyledikleri şeyi tam olarak yapmazlar ya da – yapsalar bile tutarlı bir şekilde yapamazlar. Peki bu ne anlama geliyor? Kullanıcıların çok profesyonel, teknik olarak karmaşık fidye yazılımı saldırılarına karşı şaşırtıcı düzeyde korumasız olmaları.

Bunu sadece ben söylemiyorum. Güvenilir Alman test enstitüsünün – AV-TEST – söylediklerine de bir bakın. Siber güvenlik ürünlerinin fidye yazılımlarıyla mücadele etme yeteneği üzerine karmaşık bir araştırma yayınladılar. Testlerde pazarlama iddialarını (‘Terlemeye karşı 48 saat etkili deodorant’ tarzı) dikkate almadılar ve sadece yaygın olarak bilinen vahşi fidye yazılımı örneklerini kullanmadılar. Gerçek ‘savaş meydanı’ koşullarında en iyi siber güvenlik çözümlerinden birkaçını kuşatma altına aldılar ve bugün gerçekten var olan her türlü gerçek fidye yazılımı mühimmatıyla bu çözümleri top ateşine tuttular. Belirtildiği gibi, sadece vahşi fidye yazılımı örnekleri değil, aynı zamanda teknik olarak bir fidye yazılımı saldırısını daha etkili hale getirme yeteneğine sahip olanlar da kullanıldı. Peki nasıl bir sonuca ulaştılar? Genel olarak – sonuç tam anlamıyla şok edici ve korkutucu:

Şimdi, her güvenlik sağlayıcısının bildiği 20 düzenli fidye yazılımı ailesine ait yeni örneklerle (başka bir deyişle, siber güvenlik sağlayıcılarının veritabanlarında zaten bulunan örnekler) yapılan kontrollerde neredeyse tüm siber koruma ürünler iyi bir şekilde başa çıkabildi.

Ancak araştırmanın amacı – mümkün olduğunca gerçek hayat koşullarına yakın bir şekilde test gerçekleştirmek için –işler daha da zorlaştığında ne olduğunu görmekti. Ürünler, kötü amaçlı fidye yazılımlarının yeni saldırı yöntemlerine nasıl tepki veriyorlar? Fidye yazılımı bir şirket ağına gizlice girip ortalığı karıştırmaya başlarsa ne olur? Ürünler, temel ilk senaryoda başarıyla algılanan ve engellenen fidye yazılımı örneklerini kullanan ağ saldırıları da dahil olmak üzere, paylaşılan klasörlerdeki kullanıcı dosyalarının uzaktan şifrelendiği ağ saldırılarını ne kadar iyi önlüyor?

Test edilen 11 üründen sadece üçü (3!) bu tür yeni, zorlu fidye yazılımı saldırılarıyla başa çıkmayı başardı. Ve bunların arasında yalnızca Kaspersky Endpoint Security Cloud %100 sonuçla kullanıcı verilerini korudu. Kullanıcı verilerini ele geçirmeye yönelik saldırıların hala en yaygın saldırılar arasında olduğunu ve bunların, proje belgeleri, müşteri bilgileri, yedekleri ve diğer verileri ağ bağlantılı konumlarda saklanan işletmeler için ciddi bir tehdit oluşturduğunu unutmayın.

Fakat hepsi bu kadar da değil! Sıkı tutunun…

Test edilen güvenlik çözümlerinin çoğu yalnızca saldırıları tespit etmekte ve kullanıcı dosyalarını korumakta başarısız olmakla kalmadı, aynı zamanda siber gaspçılardan gelen fidye taleplerini içeren metin mesajlarını da sildiler! Ancak bu mesajlarda, şifrelenmiş dosyaları kurtarmak konusunda teknik bilgileri içerme ihtimali bulunuyor! Bu bilgiler, siber güvenlik uzmanları tarafından kurbana yardım etmeye çalışırken faydalanılan şeylerdir: Kötü amaçlı yazılımı tanımlama, şifreleme algoritmasında bir güvenlik açığı bulmak ve değerli verileri geri almak için bir şifre çözücü geliştirme veya bağımsız açık kaynaklardan (No More Ransom gibi) mevcut bir şifre çözücüye başvurulmasını önerme.

Henüz sandalyenizden düşmediniz mi? Güzel. O halde sizi şaşırtabilecek birkaç bulgudan daha bahsedelim…

AV-TEST ayrıca, güvenlik çözümlerinin, hala yetersiz şekilde kullanılan ancak yakında kullanılmaya başlayabilecekleri için toplum açısından tehdit oluşturan mevcut fidye yazılımlarının ve hatta APT’lerin “iç yapısını” inceleme konusunda ne kadar iyi olduğunu kontrol etti. Örneğin: Geçerli Windows hizmetlerinin kötüye kullanılması, sabit ve sembolik bağlantılar yoluyla şifreleme, gecikmeli paket şifreleme veya bellek eşlemeli dosyalar aracılığıyla şifreleme. Toplamda 14 farklı yöntem. Testlerin sonucunda ne çıktı dersiniz? Yine, %100 sonuç gösteren yalnızca Kaspersky Endpoint Security Cloud oldu: Her bir kullanıcı dosyası korundu ve hedef sistemdeki tüm tehditler ortadan kaldırıldı!

Unutmadan son bir şey daha: Sadece iki ürün, uzaktan gerçekleştirilen fidye yazılımı saldırısından sonra kullanıcı verilerinde yapılan değişiklikleri geri alabildi. Söylemeye tabi ki gerek yok – bu iki üründen biri bizimkiydi.

Genel olarak, dünya gücünün daha üst kademelerinde yer alırken, hala kimin ekonomik-jeopolitik modelinin en iyisi olduğu ve merkezleri ve “ulusal çıkarları” nedeniyle – gerçek kullanıcılar açısından kalitesi ve kullanışlılığı ne olursa olsun –hangi ürünlere izin verileceği veya yasaklanacağı konusunda tartışıyorlar. Neyse ki kullanıcılar kendileri için en iyi olan çözümü seçme konusunda kendi kararlarını vermeye devam edebilirler. Buradaki ‘En iyi’; en etkili, verimli, güvenilir ve hızlı ve nereden gelirse gelsin her türlü saldırıyı durdurma konusunda taviz vermeyen bir yaklaşıma sahip anlamına geliyor.

İşte bu. Ayrıntıda gizli olanın sadece şeytan olmadığını, aynı zamanda ilahi bir kurtarıcının da (bu durumda gerçekten işe yarayan fidye yazılımı önleme teknolojisi) olduğunu gösteren kıssadan hisse.

Test sonuçları hakkında daha fazla bilgiye bu gönderiden ulaşabilirsiniz.

Fidye Yazılımından Koruma Gücü sizinle olsun!