Geçenlerde, tasarım gereği güvenlik konulu özel bir etkinlikteydim. Microsoft’un fidye yazılımını yarın düzeltebileceğini açıkladım ve konuştuğum iyi bilgilendirilmiş kişilerin bu yaklaşımı duymamış olmalarına şaşırdım.
Fidye yazılımı, dosyaları tek tek inceleyerek ve içeriklerini şifreli bir sürümle değiştirerek çalışır. (Bazen kopyaları başka bir yere de gönderir, ancak bu yavaş olur ve bazen alarmları başlatır.) Microsoft Windows’daki yazılım, dosyalara erişmek için “CreateFile” adlı bir uygulama programlama arabirimi (API) kullanır. Biraz kafa karıştırıcı bir şekilde, CreateFile yalnızca dosya oluşturmakla kalmaz, aynı zamanda onları açmanın birincil yoludur.
Microsoft, CreateFile() API’sinin hız sınırlamasını yapmalıdır. Yani, belirli bir programın API’yi ne sıklıkta kullanabileceğini sınırlamalıdır. Bir dosyayı açana kadar şifreleyemeyeceğiniz için, bunun fidye yazılımı üzerinde çarpıcı bir etkisi olacaktır. Onu yavaşlatacak ve savunma araçlarının onu insanların tepki vermesi için zamanında yakalamasına yardımcı olacaktı.
Şimdi Microsoft diyorum meli bunu yap ve umarım öyle olur.
Ayrıca, uyumluluğu korumanın karmaşıklığını göstermeye yardımcı olması için bu öneriyi yaptım. Yüzeyde, çok basit ve zarif. Uygulamada – ve bunu Otomatik Çalıştır düzeltmesini Windows Update’e getiren kişi olarak söylüyorum – hem pratik karmaşıklıklar hem de tüm etkilerin ne olacağını bilmediğimiz endişeleri olacak.
Hangi Oran Makul?
İlk soru, hangi oran makul? Düşük seçin ve uygulamaları kırın; yüksek seçin ve koruyucu değeri azaltın. Pek çok durumda, saniyede bir açma iyi görünüyor, ancak çok sayıda dosyayı açacak olan derleyiciler gibi şeylere geldiğimizde, hem genel bir sınıra hem de patlamalara izin vermemiz gerekebileceğini görüyoruz. Yedekleme yazılımına geldiğimizde, daha da karmaşık hale geliyor. Yedekleme yazılımının tüm dosyaları veya en azından değiştirilmiş tüm dosyaları açması gerekir ki bu, düşünürseniz fidye yazılımının yapmak istediğine gerçekten benzer. Salt okunur açılışlar için bir istisnaya izin veremeyiz. Fidye yazılımı bir dosyayı açar, içeriğini şifreler, yeni bir dosyaya yazar veya bir veritabanına ekler ve orijinali siler.
Bu nedenle, Windows muhtemelen birden çok hız sınırına ihtiyaç duyacaktır. Programları (derleyiciler ve yedekleme araçları gibi) muaf tutmanın bir yolu olmalı ve belki de bunun küresel olarak yayınlanması gerekiyor, bu da yazılım yaratıcılarının özel bir sertifika alması için bir süreç anlamına geliyor. Günlük kaydı ve uyarıların oluşturulması, test edilmesi, uluslararası hale getirilmesi vb. gerekir. Yeni GPO’ların (Windows’u yönetmek için kullanılan bir araç) oluşturulması ve belgelenmesi gerekir. Yerel olarak geliştirilen veya belirsiz olan veya yapımcıları artık ortalıkta olmayan yazılımlar için daha fazla CreateFile çağrısına izin vermenin yerel bir yolu olmalıdır. Fidye yazılımlarının bu mekanizmaları kötüye kullanamayacağından emin olmamız gerekiyor. (Son Mac’lerde, sistemde belirli değişiklikler yapmak için gereken karmaşık bir yeniden başlatma işlemi vardır; belki de benzer bir şey garanti edilir?)
Bu sonuncusu aldatıcıdır: Yöneticinin tasarımı gereği gücü vardır ve bu gücü sınırlamak zordur. Günlük dosyasının açılması bile hangi yazılımın çok sayıda yeni dosya açtığını görmeyi kolaylaştırır ve fidye yazılımlarının gizli kalmasını zorlaştırır. (Ve evet, zaten çok fazla alarm var.)
Ayrıntılara aşırı odaklanmadığımız sürece saldırganlar yavaş yavaş değişir. Hâlâ daha fazla kanal aracılığıyla kimlik avı yapıyorlar. 20 yılı aşkın bir süredir izinsiz girişler, açık bağlantı noktalarında dinleyen yazılımları kötüye kullanmaktan başka sorunlara dönüştü. Bu, 2003’ün “solucan yazına” yanıt olarak Windows Güvenlik Duvarı’nın varsayılan olarak açılmasına yönelik büyük bir değişikliğin sonucuydu.
Hyrum yasası kabaca birisinin sisteminizin gözlemlenebilir her davranışına bağlı olacağını belirtir. Ve değişim karmaşık hale gelir. Basit bir ifade olan “Microsoft, CreateFile() API’sinin hız sınırını belirlemelidir” ifadesi bir solucan kutusudur.
Bugün fidye yazılımının olağanüstü maliyeti göz önüne alındığında, solucan kutusunun açılmaya değer olduğunu düşünüyorum. Bence eski meslektaşlarım bu zorluğun üstesinden gelebilir.
