Dünyanın daha iyi savunmaya ihtiyaç duyduğu kesin ve neyse ki bunlar yavaş yavaş ve bölük pörçük de olsa ortaya çıkıyor. Bu savunma sistemleri geldiğinde yapay zekaya teşekkür etmemiz gerekecek.
Fidye yazılımları bilgisayarınıza sinsice sızan diğer yazılımlardan daha kurnaz ya da daha akıllı değil; ama çok sinir bozucu olabiliyor ve kimi zaman yıkıcı sonuçlar doğurabiliyor. Çünkü diğer enfeksiyonlar genelde dijital mal varlığınızı elinizden almıyor ya da karşılığında yüzlerce dolar istemiyor.
Bu risklere rağmen çoğu kişi güvenlik yazılımı güncellemelerini yapmada iyi değil. Yakın tarihte gerçekleşen saldırıların ikisi de birkaç ay önce yayımlanan bir Windows güncellemesini yapmamış kişileri hedef alıyordu. Güvenlik programlarının da eksikleri var. Güvenlik araştırmacılarına göre, en son gerçekleşen fidye yazılım saldırısını test edilen 60 güvenlik hizmetinden sadece 2’si yakalayabildi. California temelli güvenlik şirketi Proofpoint’te uzman olarak çalışan Ryan Kalember şöyle diyor: “Birçok normal uygulama, özellikle de Windows’ta çalışıyorsa zararlı kod gibi davranıyor ve ikisini ayırt etmek zor.
Zararlı kodlar nasıl bulunacak?
Virüsler gibi zararlı kodları tanımak için, kodlar bilinen zararlıların kodlarının yer aldığı bir veri tabanıyla karşılaştırıldı. Fakat bu teknik ancak veri tabanı ne kadar iyiyse o kadar iyiydi ve yeni çıkan zararlı yazılımlar tarafından kolayca atlatılabiliyordu. Bunun üzerine güvenlik şirketleri zararlı yazılımları davranışlarından tanımaya başladılar. Fidye yazılımlarındaysa dosyaları şifreleyerek kilitleme girişimleri gözetleniyor. Fakat bu, dosya sıkıştırma gibi sıradan bilgisayar davranışlarını da kapsıyor.
Yeni tekniklerse davranışların bir bileşimini arıyor. Örneğin, Yeni Zelandalı güvenlik şirketi Emsisoft’un baş teknoloji sorumlusu Fabian Wosar’a göre, ekranda ilerleme çubuğu göstermeden şifrelemeye başlayan bir program, şüpheli etkinlik yaptığı için etkilenebilir. Fakat bu da zararlı yazılımların gerekenden geç, yani bazı dosyalar kilitlendikten sonra tanınmasına yol açabiliyor.
Daha iyi bir yaklaşımsa zararlıları genelde kötü niyetle ilişkilendiren gözlemlenebilir karakteristikler sayesinde tanımak. Mesela asıl yüzünü tanımak için PDF simgesi kullanan bir programı karantinaya almak gibi. Bu tür zararlı profilleme teknikleri kod eşleştirme tabanlı olmadığından kolayca atlatılamıyor. Ve tehlike potansiyeli içeren yazılımların çalışmasından önce yapılıyor.
Makine makineye karşı
Yine de iki ya da üç karakteristik, zararlılarla yasal programları birbirinden ayırmaya yetmeyebilir. Peki ya onlarca, yüzlerce ya da binlerce özellik?
Bunun için de güvenlik araştırmacılarının, yapay zekanın bir türü olan makine öğreniminden yararlanması gerekiyor. Güvenlik sistemi iyi ve kötü yazılım örneklerini inceleyerek, zararlılarda hangi faktör kombinasyonlarının olması olduğunu belirliyor. Yeni yazılımlarla karşılaşınca sisteme bunun zararlı olma olasılığını hesaplıyor ve belli bir eşik değerini geçenleri geri çeviriyor. Eğer bir “şey” sistemi atlatırsa tek yapmak gereken hesaplamayı değiştirmek ya da eşiği yükseltmek. Araştırmacılar ara sıra yeni davranışlar saptayıp makineye bunu öğretiyor.
Silahlanma yarışı
İşin kötü yanı, zararlı kod yazarları da bu güvenlik araçlarını elde edip kendi kodlarını bunlardan sakınacak biçimde değiştirebilirler. Bazı web siteleri daha şimdiden kodların önemli güvenlik sistemleri tarafından taranmasını sağlıyor. Zararlı kod yazarları ileride güvenlik odaklı yapay zekayı kandırmak için kendi makine öğrenimi modellerini de geliştirebilirler.
Californialı CrowdStrike’ın baş teknoloji sorumlusu ve kurucu ortağı Dmitri Alperovich “Bir sistem %99 koruma sağlasa bile her şey o yüzde birlik açığı değerlendirmek için kaç deneme yapacağınıza bakar” diyor. Yine de makine öğreniminden yararlanan güvenlik şirketleri sadece fidye yazılımlarını değil daha birçok yazılımı başarıyla engelleyebiliyor. Hatta SentinelOne fidye yazılımına karşı korumasının aşılamayacağına sair 2 milyon dolarlık garanti veriyor ve henüz bu rakamı kazanan olmadı.
Temel mücadele
Peki, o zaman son haftalarda fidye yazılımları nasıl bu kadar yayılabildi? Anti virüs yazılımları, hatta ücretsiz olanların bir kısmı bile yeni tür zararlı kodları saptayabiliyor. Zira birçoğunda davranışsal saptama ve makine öğrenimi teknikleri zaten kullanılıyor. Ancak bu tür yazılımlar bile kullanıcıların genellikle güncellemekte pek iyi olmadığı zararlı yazılım veri tabanlarına gereksinim duyuyor.
CrowdStrike, SentinelOne ve Cylance gibi yeni nesil hizmetler makine öğrenimi sayesinde geleneksel veri tabanlarını tümüyle çöpe atmış durumda. Fakat bu hizmetler de bilgisayar başına 40 ya da 50 dolar gibi fiyatlara sadece kurumsal kullanıcıları hedefliyor. Küçük işletmelerin bu tür bir korumayı satın alacak parası ya da güvenlik kaygısı olmayabiliyor.
Son kullanıcıların işi zor çünkü bu güvenlik şirketleri son kullanıcıya henüz satış yapmıyor. Cylance Ağustos’ta bir son tüketici versiyonunu yayınlamayı düşünse bile, birileri kişisel olarak saldırıya uğramadıkça ya da başına böyle bir şey gelmiş birilerini tanımadığı sürece kar etmesi gayet zor.
Cylance CEO’su Sturart McClure’un dediği gibi: “Kasırga kurbanı olmadıktan sonra kasırgaya karşı sigorta yaptırır mıydınız?”
bültenlerimizden ve önemli haberlerden ilk önce siz haberdar olmak istiyorsanız lütfen formu doldurun.
