Bilgisayar Güvenliği II : Zararlı Yazılımlara Karşı Silahlarımız Nelerdir ?

Daha önce (Bilgisayar Güvenliği : Tanımlar ve İstatistikler) zararlı yazılımların ne olduğunu ve hangi türlere ayrıldığını birazda ansiklopedik bilgi kıvamında incelemiş ve istatistiklere göz atarak Türkiye'nin bilgisayar güvenliği açısından dünyanın en kötü durumda olan ülkelerinden biri olduğunu görmüştük. Bu bölümde zararlı yazılımlara karşı sahip olduğumuz silahları göreceğiz...

• Bilgisayar Güvenliği I : Güvenlik Tehditleri Nelerdir? - İstatistikler
• Bilgisayar Güvenliği II : Zararlı Yazılımlara Karşı Silahlarımız Nelerdir ?
• Bilgisayar Güvenliği III : Bilgisayarımızı, Kendimizi ve Ailemizi Korumak!
• Bilgisayar Güvenliği IV : Teşhis

Ayrıca konuyla ilgili olarak bakınız;

• Kablosuz Internet Güvenliğinin Temelleri...
• Windows 7 : Ebeveyn Denetimleri ve Çocukların İnternet Eğitimi
• Bilgisayar Mahremiyetinizi Nasıl Korursunuz?

Ne durumdayız?

Aslında yeni kullanıcılar şanslı sayılırlar çünkü günümüzde kullanılan Windows 7 işletim sistemi Windows Vista ile beraber Microsof'un tarihi boyunca çıkardığı en güvenli işletim sistemi. Windows 7, kendisinden önce sıklıkla kullanılmakta olan Windows XP'ye göre güvenlik konusunda çok daha güçlü.

Windows Vista'da “Güvenlik Merkezi” adı altında gerçekleştirilmeye çalışılan bu kolay yönetilebilir ama güçlü güvenlik anlayışını, Windows 7'de “İşlem Merkezi” adı altında bulabilirsiniz. İşlem merkezi sadece güvenlikle ilgilenmez; performans ilkelerini de düzenleme imkanı sunar. Yani denilebilir ki Windows 7 güvenlik sorununu performans sorunu ile beraber düşünür, güvenlik kaynaklarının temel kaynaklarla uyum içerisinde çalışmasını sağlar.

İşlem Merkezi hakkında bir Microsoft videosu

Windows Vista ile beraber "hazır uygulama" olarak gelen Windows Defender Windows 7’de de aynı şekilde hazır olarak bulunuyor. Bununla beraber hem dıştan içe, hem içten dışa trafiğin kontrol edilebildiği Windows Güvenlik Duvarı'da bu işletim sisteminde gelişmiş olarak bulunur.

Anti-Virüs uygulamaları ile uyum içerisinde çalışan Windows 7 İşlem Merkezi, kullanıcı hesaplarının denetimi ve ebeveyn kontrolü gibi ek özellikleri de bünyesinde barındırır. Güvenlik merkezi (İşlem merkezi) ve bileşenlerini ileride detaylı bir şekilde anlatacağım.

• Çekirdek düzeyinde kullanılan güvenlik önlemleri 

DEP (Data Execution Prevention): Türkçe'ye "Veri Yürütme Engellemesi" olarak çevrilebilecek DEP hakkında detaylı bir bilgiyi buradan alabilirsiniz.
ASLR (Address Space Load Randomization): Türkçe'ye "Adres Alanı Düzen Rasgele Seçimi" olarak çevrilebilecek ASLR, sisteme ait çalıştırılabilir dosya ve .dll'lerin RAM'e aktarılması sırasında her defasında farkı adresleri kullanması olarak açıklanabilir. Bu önlemin sebebi şudur; Windows Vista öncesi Windows işletim sistemlerinde sistem dosyaları her seferinde aynı adrese kaydedilirdi ve böylece sisteme saldırmak (Exploit etmek) isteyen bir saldırgan bunları kolayca bulur ve işe buradan başlardı. ASLR sayesinde ise bu sistem dosyaları her sistem başlangıcında bellek yöneticisinin rastgele saptadığı 256 farklı adresten birine kaydedildiği için bu artık mümkün olmamakta. Ayrıca taşıma sırasında kullanılan sıkıştırma algoritması da geliştirildiğinden daha fazla boş bellek alanı kullanılabiliyor.
SafeSEH ve /GS (Derleyici imzası): Yığın tabanlı saldırılarla yapılan Exploit etmelerin önüne geçmek için geliştirilmiş bir güvenlik önlemi.
SEHOP (Structured Exception Handler Overwrite Protection) : Türkçe'ye "Yapılandırılmış Özel Durum İşleme Üzerine Yazma Koruması" olarak çevrilebilecek SEHOP, Windows Vista Service Pack 1'den beri Windows işletim sistemlerinde bulunmaktadır. Bu özellik, Yapılandırılmış Özel Durum İşleme (SEH) adlı üzerine yazma tekniği kullanılarak gerçekleştirilen Exploit girişimlerini engelleyecek biçimde tasarlanmıştır. Dolayısıyla, /SAFESEH seçeneği gibi en son geliştirmelerle uyumlu olmasalar da programların korunmasına ve dolayısıyla sistemin exploit edilmemesine yardımcı olur. SEHOP özelliği varsayılan olarak Windows Server 2008 R2 ve Windows Server 2008'de etkinleştirilmiş, Windows 7 ve Windows Vista'da varsayılan olarak devre dışı bırakılmış durumdadır. Bunu el ile etkinleştirebilirsiniz fakat sıradan kullanıcılar için gereksizdir. 

Ama yine de etkinleştirmek isterseniz kayıt defterini açıp HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\kernel yolunu izleyip kernel'a sağ tıklayın ve Yeni/DWORD Değeri deyin ardından DisableExceptionChainValidation ismini verin. Ardından oluşturduğunuz DisableExceptionChainValidation değerine çift tıklayın ve 0 (Sıfır) değerini verin. Bu SEHOP özelliğini etkinleştirecektir. Eğer devre dışı bırakmak isterseniz 1 değerini vermeniz yeterli olacaktır.

Windows Heap Manager Security Enhancements: Bir uygulama kendini belleğe (RAM) attığında buna çalışabilmesi için sadece bu uygulamaya ayrılmış bir bellek alanı verilir. İşte bu bellek alanı bir sistemi exploit etmede en çok kullanılan alanlardan biridir. Windows Heap Manager Security Enhancements'ta bunu engellemeye yarayan bir özellik.
Safe Unlinking in the Kernel Pool:  Sadece Windows 7'de bulunan bu güvenlik önlemi de sistemi exploit etmek için bellek taşmalarının kullanılmasını önlemekle alakalı. Varsayılan olarak etkindir ama kullanıcının üzerinde herhangi bir ayar veya tasarrufu söz konusu değildir.

Bir önceki yazıda verdiğim istatistikleri incelediyseniz Windows Vista ve Windows 7'nin zararlı yazılım bulaşma oranında bariz bir şekilde Windows XP'den daha iyi durumda olduğunu görmüştünüz. Yukarıda anlattığım tabloda bunun sebeplerini ortaya koyuyor. Bunların dışında Windows 7'de kullanabileceğiniz diğer güvenlik özellikleri şunlardır:

.

• Dosya Şifrelenmesi (EFS -Encrypting File System)

Bilgisayardaki önemli ve gizli kalması gereken verilere sadece erişim hakları ile koruma sağlamak yetersiz olabilir. Erişim hakkı düzenlemeleri sırasında yapılacak hata, yetkisiz kişilerin de dosyalara erişmesini neden olabilir. Bu durum önemli bir güvenlik açığıdır. Bu türdurumlara karşı, Windows XP ve Windows Vista gibi Windows 7 Ultimate işletim sistemi de kullanıcılara dosya ve dizinleri şifreleme özelliği sağlamaktadır. EFS sadece NTFS dosya sisteminin desteklediği bir özelliktir. Dosya şifrelendiği zaman, EFS verileri şifrelenmiş olarak disk üzerinde saklar. Şifrelenmiş dosyalara sadece dosyanın sahibi erişebilir. Herhangi bir kişi şifrelenmiş dosyalara erişmeye kalkışırsa dosyaları göremeyecek, erişimin engellendiğini belirten bir mesajla karşılaşacaktır.

Bir dosyayı şifrelemek için üzerine sağ tıklayıp "Özellikler"e tıklamalı ve açılan pencerede "Gelişmiş"e tıkladıktan sonra "Veriyi korumak için içeriği şifrele" kutucuğunu işaretlemelisiniz.

Windows 7  kullanıcıların dosyanın özelliklerine bakmadan şifrelenmiş olup olmadığını anlaması için, simgelerinin altındaki yazıların rengini değiştirir. Bu sayede Windows gezgini penceresinden dosyanın özelliği belli olur. Dosya ve klasörleri şifrelemek sadece NTFS dosya sistemine ait bir özellik olduğu için, şifrelenmiş bir dosyanın NTFS olmayan bir bölüntü yada diske taşınması durumunda şifrelenme özelliği kalkacaktır. Bu durumda dosyaya erişmek isteyen bir kullanıcı tanınamayan karakterler halinde dosyayı görecektir. Şifrelenmiş dosyaların ağ üzerinden transferi sırasında, şifreleme özellikleri ortadan kalkar. Ağ üzerindeki transfer sırasında güvenlik sağlanmak istenirse EFS kullanılamaz. Bunun yerine ağ üzerindeki güvenliği sağlamak için IPSec, Remote Desktop veya Terminal servisleri kullanılır. Bu uygulamalar dosyaları ağ üzerinden şifrelerini açmadan gönderirler. Konu ile ilgili daha ayrıntılı bilgi için diğer yazılarıma da göz atabilirsiniz;

• Windows 7 : Şifreleme Dosya Sistemi (EFS) Sertifikasını Oluşturma - Yedekleme - Geri Yükleme
• Windows 7 : Sağ Tuş Menüsüne "Şifrele-Şifreyi Çöz" Seçeneği Eklemek

• Dosyaların Yedeklenmesi

İşletim sistemlerinde sistem çökmesi ve donanım hatalarından dolayı veriler kaybedilebilir. Bu sebeplerden dolayı dosyaların yedeklenmesi gerekir. Windows 7'de önemli verilerin  korunması için öncelikle diskin uygun bir şekilde bölümlenmesi gerekir. Bu bölümlemededen sonra işletim sistemi ve kullanıcıya ait dosyalar disk üzerindeki farklı bölüntülere (Partition) konulmalıdır.Bu işletim sisteminin çökmesi durumunda kişisel bilgilerinizin sağlam kalmasını sağlar. Böyle bir durumda kullanıcı işletim sisteminin kurulu olduğu bölüntüye (Partition) format atarak yeniden kurabilir. Örneğin 500 GB alana sahip olan bir disk 100-120 GB işletim sistemi bölüntüsü (C:\ sürücüsü) kalanı ise kişisel dosyaları ve programları saklamak için arşiv diski (D:\ sürücüsü) olarak iki parçaya ayrılabilir. Hatta bilgisayar üzerine Windows dışında bir işletim sistemi kurulacaksa arşiv diski azaltılıp  40-100 GB alan da ikinci işletim sistemi (Örneğin: linux) için ayrılabilir.

Ayrıca problemin kaynağının tespit edilebilmesi için işletim sistemine ait olay kayıtları da işletim sisteminin bulunduğu diskte bulunmamalıdır. Windows 7'de işletim sisteminin dosyalarını ve ayarlarını saklamak için bir yedekleme programı mevcuttur. Bu programı çalıştırmak için “Başlat/Denetim Masası/Yedekleme ve GeriYükleme” seçenekleri ile yedekleme programı çalıştırılarak dosya ve ayarların yedeği alınabilir. 

Sabit diskin bozulması veya uzaktan ele geçirilerek içerisindeki verilerin silinmesine karşın sabit diskte bulunan önemli dosyalar başka bir medyaya (USB Disk, CD, DVD, vb. ) yedeklenmelidir.Konu ile ilgili daha ayrıntılı bilgi için diğer yazılarıma da göz atabilirsiniz;

• Windows 7 : Disk Bölmek
• Disk Genişletmek
• Windows 7 : Kolay Aktarım Aracı
• Windows 7 : Sitem Yansıması Yedeği (İmaj) Oluşturmak
• Sitem Yansıması Yedeğini Geri yüklemek

• Kimlik Doğrulama ve Kullanıcı işlemleri (Authentication)

Windows'u kullanacak kişi, sisteme kim olduğunu belirtmek zorundadır. Bu işleme Kimlik Doğrulama denir. Bilgisayarı kullanacak her kişi için ayrı bir kullanıcı hesabı oluşturulur. Bilgisayarı kullanacak kişi hesabın sahibi olduğunu ispatlamak için kullanıcı adı ve parolası girmek zorundadır. İşletim sistemi eğer bu bilgiler doğru ise sisteme girişe izin verir. İşletim sistemlerinde bu sürece oturum açma (logon) denir. Parola belirlerken bilgisayarda bulunan bilgilerin önemine pararlel zorlukta bir şifre belirleyin. Ancak bu parolanın bilgisayarınızı sadece basit bir şekilde koruduğunu unutmayın. Bilgilerinize bilgisayarınız bir canlı CD'den başlatılarak veya hard diskiniz başka bir bilgisayara takılarak kolayca ulaşılabilir. Bu gibi durumlarda daha evvel anlattığım Dosya Şifrelenmesi (EFS -Encrypting File System) hayati önem taşır.

• Güvenlik Merkezi (İşlem merkezi)

2003 yılında Windows XP Servis Pack 2 çıkarılırken güvenliği artırmak için Güvenlik Duvarı, Anti-Virüs koruması ve güncellemeyi içeren Windows Güvenlik Merkezi eklendi. Bu üç güvenlik servisinden birinin durdurulması ya da güncelliği kaybetmesi durumunda doğrudan kullanıcıyı uyaracak şekilde ayarlandı.Windows 7'de ise İşlem Merkezi adı altında işletim sisteminin hem güvenlik hem de performans takibinin ve değişikliklerinin yapıldığı bir arayüz ortaya konmuştur. İşlem merkezine Denetim Masası/Güvenlik/Güvenlik Merkezi yoluyla ulaşılabilir.

İşlem merkezi 6 ayaktan oluşur;

1- Güncelleme

İşletim sistemlerinde zaman içinde tespit edilen açıkları kapatmak, hatalı yazılmış kodları düzeltmek ve bilgisayar sistemleri üzerinde ciddi boyutlarda hasara neden olan Virüs, Truva atı ve solucan türü zararlı programlara karşı önlem almak amacıyla Microsoft  belirli aralıklarla yama ve hizmet paketleri (Service pack) yayınlıyor. Sisteminizi dışarıdan gelebilecek olası saldırılara  karşı korumak için yayınlanan yama ve hizmet paketlerinin sürekli takip edilmesi gerekir. Microsoft geliştirdiği bu güncelleme yazılımlarını kullanımda kolaylık sağlaması için belli kategorilere ayırır:

• Güvenlik Yaması (Security Patch): Belli bir ürünün güvenlik açığını kapatır. Mutlaka uygulanmalıdır.
• Kritik Güncelleme (Critial Update): Kritik bir hatayı giderir. Mutlaka kurulmalıdır.
• Güncelleme (Update): Belirli bir problemi giderir.
• Servis paketi (Service Pack): Belirli bir ürünün tüm güncellemelerini yapar.

Güvende olabilmek için  bu güncelleme yazılımlarını mutlaka yüklemelisiniz. Bu sebeple güncelemelerin varsayılan ayarı olan "Güncelemeleri otomatik olarak yükle"de bırakın.

2-Güvenlik Duvarı (Firewall)

Güvenlik duvarı etkinleştirildiğinde iç ağdan dış ağa gidecek ya da dış ağdan iç ağa girecek trafiğinin kontrolünü sağlar. Yani sadece kullanıcının istediği iletişime izin verir. Güvenlik duvarı ayarlarını yapmak için; Denetim Masası/Sistem ve Güvenlik seçeneğine tıklanarak Windows Güvenlik Duvarı ayarlarına ulaşılabilir.

Normal koşullarda güvenlik duvarı içerden dışarıya her türlü erişime izin verir fakat dışarıdan içeriye hiç bir erişime izin vermez. Bir programın ya da özelliğin güvenlik duvarını aşmasına izin ver seçeneği istisnai olarak dışarıdan içeriye erişim izni verebilmek için konulmuştur. Çünkü bazı dosya paylaşım programları (Kaza, emule,  µTorrent vb.) ve mesajlaşma programları (Msn vb.) dışarıdan erişim isteyebilirler. Bu erişimler buradan verilebilir. Bilgisayara dışarıdan erişime açan bu ayarları yaparken dikkatli olmalısınız. Gerekmiyorsa hiçbir program için dışarıdan erişim vermemelisiniz.

"Gelişmiş" seçeneğinde içeriden dışarıya veya dışarıdan içeriye bağlantılar kontrol edilebilir.
Gelişmiş güvenlik duvarı ayarlarına ulaşabilmek için Denetim Masası\Sistem ve Güvenlik\Windows Güvenlik Duvarı/Gelişmiş Ayarlar yolunu kullanabilirsiniz. Gelişmiş güvenlik duvarı ayarlarında hem dışarıdan içeriye giden hem de içeriden dışarıya çıkan trafik kontrol edilebilir. İstenilen haberleşme ihtiyacına göre kurallar girilerek içeriye giriş yanında dışarıya çıkış da kontrol altına alınır. "Varsayılanı yükle" seçeneği yaptığınız ayarların tamamını ortadan kaldırır.

3-Zararlı Yazılımlara Karşı Korunma (Antivirüs)

Virüsler, solucanlar, casus yazılımlar ve diğer olası istenmeyen yazılımlar gibi zararlı yazılımlar, kişisel bilgilerin çalınması, kişisel bilgisayar performansının düşmesi ve istenmeyen reklamların (açılır reklamlar gibi) görüntülenmesi gibi çeşitli sorunlara neden olabilir. Zararlı yazılımların, yalnızca can sıkıcı içerikten, zaman ve maddi kaynak kaybına neden olan önemli sorunlara kadar farklı etkileri olabilir.

AntiVirüs programları, zararlı yazılımlara karşı koruma sağlamakta kullanılan en etkili kontrol mekanizmasıdır. AntiVirüs programları, işletim sistemlerini, uygulamaları ve kullanıcının dosyalarını korur. Bu nedenle her bilgisayar kullanıcısı mutlaka bir AntiVirüs yazılımı kullanmalı ve AntiVirüs programını düzenli olarak güncellemelidir. Bilgisayarda bir antivirüs programı olmaması durumunda Windows 7 alttakiki gibi bir uyarı verir;

4- Casus ve Diğer Zararlı Yazılım Koruma

Microsoft Vista ile gelen ve Windows 7’de de bulunan yeni Defender aracı casus programları ve zararlı yazılımları tespit edebilir.Windows Defender, Windows'a dahil edilmiş ve açıldığında otomatik olarak çalışan casus yazılım önleme yazılımıdır. Windows Defender bilgisayarınıza casus yazılım bulaşmasını önlemeye yardımcı olmak için iki yöntem sunar:

• Gerçek zamanlı koruma.

Windows Defender, casus yazılım kendini yüklemeye ya da bilgisayarınızda çalışmayı denediğinde sizi uyarır. Ayrıca, programlar önemli Windows ayarlarını değiştirmeye çalıştıklarında da uyarı alırsınız.

• Tarama seçenekleri. 

Bilgisayarınıza yüklenebilecek casus yazılımları taramak, düzenli olarak tarama planlamak ve tarama sırasında algılanan her şeyi otomatik olarak kaldırmak için Windows Defender'i kullanabilirsiniz.Windows Defender'ı kullanırken, tanımların güncel olması önemlidir. Eğer yeterli bir virüs koruma programına sahipseniz Windows Defender'ı tamamen kapatabilirsiniz.

Tara:  Kullanıcı istediği zaman zararlı yazılım arama işlemini başlatır.

Araçlar:  Windows Defender’e ait araç ve ayarları gösterir. 2. Resim’de araç ve ayarları görebilirsiniz.

5- İnternet Güvenlik Ayarları

Windows 7 ile gelen işlem merkezi aynı zamanda Internet Explorer'ın güvenli olarak yapılandırılmasını sağlar. Eğer Internet Explorer web tarayıcısının güvenlik ayarları değiştirilirse güvenlik merkezi  kullanıcıyı uyarır. Web tarayıcı güvenliği ayarlanırken dengeli bir koruma ayarı yapılmalıdır. Fazla kısıtlama konulursa, internetin aktif bir şekilde kullanılamaması, az kısıtlama yapılırsa internetten indirilen zararlı yazılım ve içeriklerin kullanıcı bilgisayarına ve verilerine büyük oranda zarar vermesi söz konusu olacaktır. Internet Explorer’ın sunduğu varsayılan güvenlik seviyeleri özel bir durum için gerekmiyorsa düşürülmemelidir. Bir güvenlik ayarı değiştiriliyorsa da nedeni ve oluşturacağı güvenlik riskleri bilinmelidir. Bu ayaralara Internet Explorer üzerinden Araçlar/İnternet seçenekleri yoluyla ulaşabilirsiniz.

6- Ebeveyn Denetimi

Ebeveyn Denetimi, çocuklarınızın veya bilgisayar ortamında kontrollü olarak çalışmasını istediğinizi kişilerin bilgisayar kaynaklarına ve internete sınırlı yetkilerle erişmesini sağlayan ve bu erişimleri size raporlayan güvenlik aracıdır. Ebeveyn denetimini etkinleştirebilmek için siz bilgisayar yöneticisi (Administrator) olmalısınız ve sınırlı yetkilere sahip bir kullanıcı oluşturmalısınız. Daha sonra kısıtlı yetkilere sahip kullanıcının bilgisayar üzerindeki erişim haklarını Ebeveyn Denetimi aracı ile kontrol edebilirsiniz. Eğer bilgisayarda sınırlı haklara sahip kullanıcı yoksa Denetim Masası\Kullanıcı Hesapları ve Aile Koruması\Kullanıcı Hesapları yolu kullanılarak sınırlı haklara sahip kullanıcı yaratılabilir. Eğer kullanıcı varsa ona ait haklar sınırlanabilir. Ebeveyn Denetimi'ne Denetim Masası\Kullanıcı Hesapları ve Aile Koruması\Ebeveyn Denetimleri yoluyla ulaşabilirsiniz. Ebeveyn denetimlerini 3. bölümde ayrıntılı olarak ele aldım. Oradan ilgili bağlantılara ulaşabilirsiniz.

Her ne kadar olabilecek en basit dille anlatmaya çalışıyor olsamda, bilgisayar kullanmaya yeni başlayan bir kullanıcı için bütün bunlar ürkütücü ve pratikten yoksun görünebilir. "Tamam iyi anlatmışsın güzel de benim şimdi bilgisayarıma hangi programları kurmam lazım?" sorusu kafanızda oluştuysa Notebook Kullanmaya Başlangıç : Kullanım ve Bakım  adlı makalemin "Güvenlik" bölümünden yardım alabilirsiniz.

Sonraki bölüm: Bilgisayar Güvenliği III : Bilgisayarımızı, Kendimizi ve Ailemizi Korumak!

Yazı dizisinin sonunda topluca bulabilirsiniz..