Viruslar tez-tez yoluxduqları sistemləri pozur və ya məhv edirlər və ya oxşar davranışlar göstərirlər. Antiviruslar bu cür zərərli proqramların təsirlərini qarşısını almaq və kompüterinizi qorumaq üçün hazırlanmış tətbiqlərdir. Antivirusların iş prinsiplərini və onların bugünkü texnologiyada necə qorunma təmin etdiyini anlamaq üçün əvvəlcə tarixlərinə baxaraq virusların təkamülünü araşdıraq.
İlk Kompüter Virusu
Özlərini təkrarlaya bilən kompüter proqramları fikri ilə ortaya çıxan viruslar ilk dəfə 1948-ci ildə John Neuman tərəfindən təqdim edilmişdir. Əslində virus dediyimiz zərərvericilər kompüter proqramlarıdır. Kompüterimizdə istifadə etdiyimiz proqram və ya tətbiqetmələr ehtiyaclarımızı ödəmək və kompüterimizdən daha səmərəli istifadə etmək üçün istehsal olunur. Bununla birlikdə, kompüterlərin işini pozmaq, sənədlərimizə zərər vermək, fidyə, şantaj və bu kimi qeyri-qanuni funksiyalar üçün internetin qaranlıq tərəfində yaşayan proqram inkişaf etdiriciləri tərəfindən viruslar istehsal olunur.
Kompüter viruslarının tarixi?
Kompüter virusu, kompüterdən istifadə edən şəxsin icazəsi və ya xəbəri olmadan, kompüterin işini dəyişdirən, məlumatlarımıza zərər verən və gizlənən kompüter proqramı olaraq təyin olunur. Qlobal olaraq bu cür zərərvericilərə türkcə "zərərli proqram", ingilis dilinə "Malware" deyilir. Elk Cloner, indiyə qədər istehsal olunan ilk kompüter virusu kimi təsvir edilmişdir. 1982-ci ildə Rich Skrenta tərəfindən yazılmış bu zərərli tətbiq, Apple DOS 3.3 əməliyyat sisteminə disketlərdən yoluxdu. Bu virus bir lisey şagirdi tərəfindən zarafat olaraq hazırlanmış bir tətbiqetmə idi və oyunda gizlədildi. Bu oyun 50-ci dəfə oynansaydı, virus ortaya çıxacaq və boş bir ekranda bir şeir çıxararaq infeksiya tamamlanacaqdı. Bu virusun ortaya çıxmasından sonra 1983-cü ildə kompüter virusu ilə bağlı ilk tədqiqat doktorluq dissertasiyasını nəşr etdirdi.
Antiviruslar və iş prinsipləri
Antivirus, kompüterlərimizə sirayət edə biləcək viruslara qarşı hazırlanmış təhlükəsizlik proqramı olaraq təyin edilir. Antivirusların ilk vəzifəsi sistemin bütövlüyünü poza biləcək və ya məlumatlarımızı məhv edə biləcək zərərli proqram təminatından qorunmaqdır. Ənənəvi viruslar, yoluxduqları sistemdəki məlumatlara özlərini vuraraq çoxalmağı hədəfləyirlər. Digər tərəfdən antiviruslar, bir məlumatın bütövlüyünü pozan bir tətbiqə pis kod əlavə edildikdə tətbiqdəki zərərli kodları təmizləyərək (düzəldərək) faylı orijinal vəziyyətinə gətirir. Bu şəkildə pozulmuş məlumatlarımız yenidən istifadəyə verildi və sistem bütövlüyü təmin edildi. Ancaq bəzi hallarda, təəssüf ki, antiviruslar bu sənədləri düzəldə bilmədi və təmizlənə bilməyən fayllar sistemin bütövlüyünü qorumaq üçün karantinaya alındı. Karantinaya alınmış tətbiqin işlədilməməsi səbəbindən virusun yayılması qarşısı alınacaq və sistemin bütövlüyü qorunacaqdır. Bugünkü dünyada bir çox virus təhdidi ilə qarşılaşırıq. Viruslar indi daha ağıllı və daha fərqli texnikalarla qarşılaşırlar. Təbii ki, mütəxəssislər və mütəxəssis dəstək qrupları bir əməliyyat sistemi qurduqda ilk növbədə sistemləri antivirus tətbiqetmələri ilə qorumağı planlaşdırırlar. Viruslar virusa yoluxduqda, sənədlərin bütövlüyünü pozur. Buna görə, tanınmış bir virusu, yəni imza əsaslı hash ilə aşkar edə bilərsiniz.
Ancaq tanınmayan viruslarda bu vəziyyət böyük sual işarələri yaratdı. Kodun dəyişdirilməsi yalnız imza əsaslı antivirusların aşkarlanmasına imkan verir. Həm də Sandbox xüsusiyyətinə sahib evristik yanaşmanın (davranış aşkarlanması) və hətta antivirusların olduğunu söyləyə bilərik. Bu şəkildə imza əsaslı aşkarlanmayan viruslar, sistemə sirayət etdikləri zaman pis davranışları ilə tutulur və aşkarlanır. Bugünkü viruslar çox inkişaf edib və xüsusi texnika ilə çıxış edirlər. Fərqli davranışlar və hətta zərərli orqanizmlər sərgiləyənlərin, sistemə zərər vermədən aktivləşdirilənə qədər komanda sistemindən əmr gözlədiyini də görürük. Digər tərəfdən kamera qeydlərini, səs yazan virusları, bu məlumatları sistemə zərər vermədən təcavüzkarlara klaviaturadan yazdığımız bütün düymələri yazaraq göndərən virusları oğurlamaq təhdidləri və bu kimi məlumatlarımızı oğurlamaq təhdidləri var. Firewall cihazlarına və ya yeni nəsil təhlükəsizlik cihazlarına qarşı xüsusi texnika inkişaf etdirən və sistemlərdə aylardır yaxalanmadan qala bilən inkişaf etmiş hədəf yönümlü zərərli proqram böyük bir təhlükə ola bilər. Davranış aşkarlanmaları antivirus şirkətlərinin AR-GE araşdırmalarına görə fərqlənir. Bu, virus tutmaqda böyük bir fərq ortaya qoyur. Güclü AR-GE və qabaqcıl təhdidləri yaxşı təhlil edən şirkətlər bu şəkildə fərqlənir. Əlbəttə ki, evristik alqoritmlər sayəsində yüzdə 100 etibarlı olduğunuzu söyləmək doğru deyil. Ancaq bugünkü internet texnologiyaları və proqram texnologiyalarını nəzərdən keçirdiyimiz zaman bunun ən yaxşı həll yollarından biri olduğunu söyləyə bilərik. Çünki bugünkü internet və texnologiya dünyasında hər dəqiqədə yeni bir virusun ortaya çıxdığını düşünsək, imza əsaslı aşkarlama sistemlərinin yetərli olmadığını açıq şəkildə deyə bilərik. İlk virusun ortaya çıxmasından təxminən 40 il keçdi. Bu dövrdə texnologiya sürətlə inkişaf etməyə davam etdikcə, viruslar inkişaf edərək biz istifadəçiləri təhdid etməyə davam edir. Eyni zamanda antivirus şirkətləri, virusları aşkarlamaq üçün texnikalarını inkişaf etdirməyə davam edəcəklər.
Sistemimi viruslardan necə qorumalıyam?
Antiviruslar antikor kimi davranır. Beləliklə, onların infeksiya edilməmiş bir sistemə quraşdırılması tövsiyə olunur. Yoluxmuş bir sistemə antivirus proqramı quraşdırmaqdansa, yoluxmuş bir sistemi başqa bir sistemdə skan edərək təmizləmək daha yaxşı olar. Əməliyyat sistemlərimiz bugünkü texnologiya çağında hər saniyədə minlərlə hücum ala bilir. Unutmamalıyıq ki, bu hücumların əksəriyyəti viruslar, qurdlar, trojan kimi zərərli proqramdır. Əvvəllər disklər və ya disketlər arasında kopyalayaraq çoxalmış viruslar, bu gün sistem zəifliklərindən istifadə edərək bir neçə saniyə ərzində milyonlarla kompüterə internet üzərindən yoluxma potensialına sahibdirlər. Əvvəlcə istifadəçinin bir cüt kliklə işləməsi lazım olan zərərli sənədlər, bugünkü texnologiyada heç bir işə əmrinə ehtiyac olmadan sisteminizdə avtomatik olaraq aktiv ola bilər. Nəticədə, Antivirusu infeksiya edilməmiş sistemimizə quraşdırmalıyıq və antiviruslarımızı daima yeni texnikalardan qorunmaq üçün günümüzdə saxlamalıyıq. Eyni zamanda, anormal davranışı aşkarlamaq üçün şəbəkəmizi bir firewall cihazı ilə idarə etməliyik.
Firewall Cihazları və Müştəri Əsaslı Antivirus Proqramlarının Antivirus Tətbiqlərinin Fərqləri Nələrdir? Niyə Antivirus qurmalıyıq?
Bir çox firewall cihazında və ya Next Generation adlandırdığımız bir çox modulu olan cihazlarda Antivirus tətbiqetmələri var. İnternet şəbəkəsindən və ya digər şəbəkələrdən şirkət şəbəkənizə gələ biləcək təhdidləri təhlil edərək zərərli proqram təminatını aşkarlamaq qabiliyyətinə malikdirlər. Başqa sözlə, şəbəkə trafikiniz ən kiçik hissələrə qədər izlənilir və zərərli bir fəaliyyət aşkar edildikdə, bloklama müştəri kompüterlərinə çatmadan da edilə bilər. Təbii ki, bir çox insan müştərilərə antivirusların lazım olub olmadığını soruşa bilər. Bu nöqtədə antiviruslara niyə ehtiyac duyduğumuzu izah etməliyik. Bugünkü dünyada viruslar çox inkişaf edib və minlərlə müxtəlif texnikadan istifadə edə bilərlər. Əməliyyat sistemlərindəki zəiflikləri tapa bilməklə yanaşı, İnternetə qoşulmuş cihazları da avtomatik aşkarlaya və sirayət edə bilərlər. Zərərli trafiki şifrələyərək sistemə yoluxmaq üçün istifadə edilən xüsusi texnikalardan biridir. Firewall cihazları nə qədər yaxşı olsa da, şifrəli trafiki aça və oxuya bilmədikləri üçün zərərli bir əlaqəsinin olub olmadığını anlaya bilməyəcəklər. Bununla birlikdə, müştərilərdəki antivirus tətbiqetmələri araşdıraraq (davranış aşkarlamaları ilə) müştəri tərəfindəki zərərli hərəkətləri aşkar edə bilər (şifrələmə müştəriyə gəldikdə tamamlanır). Digər bir fərq File System viruslarıdır. Viruslar korporativ şəbəkə daxilindəki kompüterlərimizə yalnız internet üzərindən ötürülmür. Viruslar USB diskləri, xarici disklər, cd və ya buna bənzər fiziki fəaliyyətlər vasitəsilə də ötürülə bilər. Firewall cihazları yalnız korporativ şəbəkəni idarə edir. Başqa sözlə, müəssisə daxilindəki kompüterlərin fəaliyyətinə nəzarət edə bilmirlər. Təbii ki, bir istifadəçi yoluxmuş bir flash diski kompüterlərə yerləşdirərək kompüterlərə yoluxa bilər. Belə hallara qarşı təşkilatdakı bütün kompüterlərə antivirus proqramı quraşdırmalıyıq. Yalnız antiviruslar kifayət etməyəcəkdir. Antiviruslar korporativ şəbəkənizdə zərərli fəaliyyət tuta bilmədiyi üçün. Yalnız quraşdırıldıqları kompüterləri yoxlayırlar. Firewall cihazları korporativ şəbəkəni idarə edə bildiyindən şəbəkə üzərindən gələn hücumları aşkar edə bilərlər.
Mən bir firewall aldım. Antivirus lazımdır?
Bəli, istifadə etdiyimiz Firewall cihazlarında şəbəkə trafiğimizi idarə etmək üçün bir antivirus modulu və müştərilərimizi idarə etmək üçün bir antivirus lazımdır. Sistemlərimizi həm təhlükəsizlik divarı tərəfində, həm də şəbəkə trafikinə nəzarət edərək istifadəçilərimizin fiziki giriş və ya şüursuz istifadəsi səbəbindən yarana biləcək virus təhdidlərinə qarşı qorumalıyıq. Texnologiya inkişaf etdikcə həm korporativ şəbəkəni, həm də EDR adlandırdığımız müştəriləri idarə edən sistemlər inkişaf etdirildi. Bununla birlikdə, Firewall və ya Antivirus proqramı ilə müqayisədə çox bahalı həllərdir. Fidiyə proqramı məlumatlarının pozulmasına baxarkən, ümumiyyətlə, təşkilat daxilində çalışanların zərərli proqramların təsadüfən, istəmədən və ya qəsdən icra edilməsindən qaynaqlandığını unutmamalıyıq. Bu, təhlükəsizlik mütəxəssislərini və İT dəstək mütəxəssislərini həm Firewall tərəfində, həm də Müştəri tərəfində bir Antivirus istifadə etməyi məcbur edir. Məsələn, insan əlləri ilə quruma daxil olan usb cihazları, xarici sabit disklər və s. cihazlar; Firewall cihazlarını üstələdikləri üçün antiviruslar buradan gələ biləcək təhdidlərə qarşı oynayır. Təbii ki, bu vəziyyətdə firewall-dan qorunma gözləmək düzgün olmazdı. Antiviruslar, mobil cihazlar vasitəsilə və ya içərisinə məzmun daxil edildiyi saxlama cihazlarına nəzarətdə kritik rol oynayır. Bunu belə düşünə bilərik; restoranımızın qapısında dayanan cangüdənlər üçün təhlükəsizlik duvarı; Masalar arasında dolaşan qoruma qoruyucularını antivirus olaraq təyin edə bilərik. Fidiyə proqramı kimi proqramlaşdırılmış Wannacry və onun törəmələri, keçən il səssizcə bütün kompüterlərə mətn faylı yoluxduraraq məlumatların alınmasına yönəlmişdi.
Virusun mənbəyi bilinməsə də, təsiri dünya miqyasında böyük idi. Türkiyə daxil olmaqla əlamətləri göstərən təhlükəsizlik proqramı istehsalçıları, keçən il virusdan təsirlənmiş 150 ölkədə 200-dən çox kompüterin milyardlarla dollar zərər görməsinə səbəb olduğunu aşkar etdilər. Hücumun ilk böyük zərbəsi İngiltərəyə endi. Milli Səhiyyə Sisteminə bağlı bəzi xəstəxanalar MRI və KT müayinələrini edə bilmədikləri halda, həkimlər rəqəmsal sistemlərdən imtina etməli oldular. Ölkə daxilində 45 səhiyyə müəssisəsi prosedurları dayandırmalı və xəstələri geri çevirməli idi. Rusiyadakı operatorlar və ABŞ-dakı yük şirkətləri də daxil olmaqla kiçik və ya böyük hədəflərdən asılı olmayaraq bunun çox itkiyə səbəb olduğunu gördük. Texnologiya inkişaf etdikcə hücum edənlərin texnikaları da gəlir. Xüsusilə fidyə proqramı səbəbindən milyonlarla dollara başa gələn şirkətlər olduğunu nəzərə alsaq, istifadəçilərimizin kompüterlərini bir firewall cihazı olduğu üçün qorumalıyıq.