Windows Vista'ya Çeyrek Kala: Anti-Virüs Firmalarından Patchguard Tartışması
 

Çok kısa süre içerisinde RTM (Release To Manufacturing) olup son şeklini
almayı bekleyen Windows Vista, pazardaki aslan payına sahip Anti-Virüs
firmalarını şu sıralar oldukça kızdırıyor.
Bill Gates'in geliştirilmesine harcanacak paranın aya inişle aynı tutarda
olacağını


söylediği, Microsoft'un yaklaşık 5 senedir üzerinde çalıştığı Windows Vista
selefinden çekici arayüzü ve işlevselliğe ilişkin bir kaç yenilik haricinde esas
olarak arka planda kalan pek göz önüne gelmeyen güvenliğe yönelik geliştirmeler
ile ayrılıyor
Microsoft'un deneme sürümlerinde kullanıcılara ilk kez tanıttığı


UAC (User Account Control), sürücüleri yüklemek için

dijital imza zorunluluğu ve çeşitli sürücülerin kernel'e bağlanmasını
engelleyen

Patchguard (Kernel Protection) teknolojisi Vista ile beraber gelecek önemli
güvenlik mekanizmaları.
Bu güvenlik mekanizmaları ile ilginç bir kaç nokta var. Öncelikle 32-bit ve
64-bit sürümler arasında güvenlik açısından bir takım farklar yaratılmış. Mesela
64-bit Vista sürümü sürücüler için dijital imza gerekliliği konusunda çok daha
katı. Dijital imza gerekliliği derken burada konuya açıklık getirmekte fayda
var: burada bahsedilen WHQL programı kapsamında imzalanması değil sürücülerin,
geliştiricinin Microsoft tarafından Yayıncı Kimlik Sertifikası (PIC) ile
tanımlanması ve kernel modunun buna bağlı olarak imzalanması anlamında
kullanılıyor.
Microsoft PIC için ücret talep etmiyor ama geliştiricinin yıllık yaklaşık
500$ civarı bedeli olan Verisign Sınıf 3 Ticari Yazılım Yayın sertifikası
olmasını şart koşuyor.
Çoğu kullanıcının sürücü yüklerken Windows XP altında sıklıkla karşılaştığı
İmzasız Sürücü Yükleme [Unsigned Drivers] ekranı kullanıcı tarafından sürücünün
yüklenmesi yolunda karar verilerek rahatça geçilebilirken 64-bit Vista altında
kullanıcıya müdahale şansı bırakmadan kernele bağlanacak hiç bir sürücüye
yüklenme izni verilmiyor.
İşletim sisteminde kernel (çekirdek) olarak adlandırılan kısım işletim
sisteminin tüm kaynakların yönetimini ve donanım ile yazılımlar arasındaki
iletişimi sağlayan kalbi diyebileceğimiz bölümü. Hali hazırdaki sistem stabilite
bozuklukların pek çoğunun sebebi kodu iyi yazılmamış veya kötü niyetle
hazırlanmış sürücülerin işletim sisteminin kernel'ine bağlanarak yarattığı
problemler. Microsoft 64-bit Vista'da bu yeni dijital sertifika uygulaması ile
yetkisiz ve kimliği belirsiz sürücülerin sisteme yüklenmesini önleyerek sistem
stabilitesini büyük ölçüde arttırmayı hedefliyor ki bu işe yarayacak gerçekçi
bir yaklaşım. Tabii bunun bir de negatif yüzü var: zaten kısıtlı olan 64-bit
sürücülerin hiç biri Microsoft tarafından onaylanmadıkça yüklenemeyeceğinden bir
ölçüde kullanıcıların hareket alanı da daralmış olacak Açıkcası yüksek stabilite
karşısında oldukça ufak bir bedel gibi gözüküyor bu.

64-bit Windows Vista ile gelen ve bu yazının yazılma sebebi olan Patchguard
ise esasında üstte açıklanan kernel sürücü koruması ile büyük paralellikler
taşıyan Vista'dan önce Windows Server 2003 SP1 x64 ve Windows XP x64 ile
tanıtılan bir güvenlik teknolojisi. Bu teknoloji de 32-bit sürümde mevcut değil.
PatchGuard üstteki imzasız sürücü yükleme korumasına çok benziyor; burada
uygulanan metod kernel'in sürekli gözetim altında tutularak kernel'e atılacak
bir çengel yani müdahale durumunda işletim sisteminin kendini kapatması.Tabii ki
kernel'e yapılacak müdahaleler de zorlaştırılmış/kısıtlandırılmış durumda.
PatchGuard'ın Symantec ve Mcafee gibi güvenlik devlerinin şimşeklerini
üzerine çekmesinin de sebebi işte bu kernel'e düşük düzeyde yapılacak
müdahalelerin oldukça kısıtlandırılması (PatchGuard'ı
atlatmak
teoride mümkün !).
Çoğu virüs, truva atı, root kit gibi zararlı yazılım düşük düzeyde kernel'e
müdahale ederek sistem üzerinde etkili oluyor, PatchGuard sayesinde bu gibi
zararlılara iyi korunma sağlanmış oluyor. Öte yandan bir de madalyonun öteki
yüzü var; aynı zararlı yazılımlar gibi Anti-Virüs yazılımları da sistem
üzerindeki kontrolünü kernel'e çengel atarak yani düşük düzeyde çalışarak
sağlıyor dolayısıyla zararlıları engelleyen bu sistem aynı zamanda Anti-Virüs
yazılımlarını da etkisiz kılıyor.
Bu da pazarda uzun süreler birbirinin aynı virüs tarama motorlarını yıl veya
versiyon numarası değiştirerek kullanan Anti-Virüs yazılımcılarının kodlarında
ciddi kaynak harcayarak değişiklik yapması gerekliliğini ortaya çıkartıyor. Bu
noktada şunun altını çizmekte büyük fayda var: tüm Anti-Virüs yazılımları
PatchGuard'dan etkilenmiyor zira kernel'e bağlanmanın alternatifleri mevcut.
Mesela

dosya sistem filtreleri (file system filters) özellikle Anti-Virüs
yazılımları hitap eden önemli bir alternatif teknik.
Tartışmanın başını çeken Symantec ve Mcafee Microsoft'un bu teknolojisinin
ters tepeceğini, güvenlik yazılımlarını kısıtlamanın zararlı yazılımlara gün
doğuracağını bunlar yanında da PatchGuard'ın rekabet kurallarına aykırı olduğunu
neredeyse bağırarak söylüyor.
Bir süre önce Avrupa Birliği'nce başlatılan Windows Vista soruşturması
arkasındaki iki isimden birinin Symantec olduğu (Diğeri ise Office 2007'de
varsayılan olarak PDF kayıt özelliği konulmasına karşı olan Adobe) ve firmanın
Microsoft aleyhine yoğun biçimde kulis yaptığı oldukça yazıldı, çizildi.
Symantec - Microsoft çekişmesinde bir başka ilginç milat taşı ise yazın
başlangıcında Symantec'in yuttuğu Veritas'a ait Microsoft'a verilmiş bir
lisansın Windows Vista ihlal edildiğine dair firmanın şikayetiydi.
Mcafee ise şu sıralar Microsoft'u Yönetim Kurulu Başkanı ve CEO'su George
Samenuk imzasıyla yayınladığı

açık bir mektupla kamuoyuna şikayet etmekle meşgul. Mektupta Mcafee açık bir
dille Microsoft'u tüm dünyadaki bilgisayarları tek başına kontrol etmeye çalışan
Büyük Birader olarak nitelendiriyor ve aynı zamanda bilgisayarları
tehditlerden koruyan güvenlik konusunda da tek söz sahibi olmak istemekle
suçluyor. Ek olarak Microsoft'un güvenlik için tek bir yönteme bağlı kalarak
bunun kırılması durumunda dünyadaki Windows kullanan %97 oranındaki
masaüstülerin aynı anda çökmesine yol açacağı iddiasıyla itham ediyor.
Anti-Virüs yazılımları arasında iyi bir nama sahip KAV olarakta anılan
Kaspersky ise kendi bulgularına göre Microsoft'un Vista çekirdeğine güvenlik
yazılımlarının erişimini engellediğini söyleyemediklerini

belirtiyor.
Bu tartışmayı alevlendiren bir diğer nokta ise Microsoft'un Windows OneCare
markasıyla sunduğu kendi güvenlik paketi. Güvenlik yazılımı üreticileri
Microsoft'un kendi ürünlerine PatchGuard'ı aşıp haksız üstünlük sağlayabilecek
bir adım atmasından rahatsızlık duyuyor. Microsoft'ta buna karşılık Vista'nın
geliştirilmesinde görev alan bazı çalışanlarının bloglarında yazdıkları
yazılarla gayri resmi olarak böyle bir şeyin kesinlikle mümkün olmadığının
altını çizdi. Hatta Vista'ya entegre Windows Firewall'un bile bu şekilde haklara
sahip olmadığının

altı çizildi.
PatchGuard tüm saldırıları olmasa da şu an mevcut olan çok sayıdaki zararlıyı
etkisiz hale getirebilecek aşılması teoride kanıtlarla ortaya konmuş ama
pratikte çokta kolay olmayan iyi sayılabilecek bir güvenlik sistemi. Bazıları bu
güvenlik çözümünü radikal ve kısıtlayıcı olarak adlandırabilir ama Windows'un
kapalı kaynak koda sahip bir yazılım olduğu gerçeği göz önüne alındığında
Microsoft'un bu açıdan eleştirilmesi çok anlamlı olmuyor.
Kişisel olarak işin başka bir yönünü ise biraz rahatsız edici buluyorum: bu
güvenlik mekanizmasının sadece Vista'nın 64-bit sürümünde yer alıp çeşitli
nedenlerle 32-bit sürümünde yer almaması bir türlü başlayamamış olan ve bir
miktar daha zaman alacağı aşikar olan [2 sene veya daha uzun] 64-bit geçişi
müddetince 32-bit kullanıcılarını belki daha uyumlu ama daha az güvenli bir
ortamda çalışmaya zorluyor. PatchGuard'ın 64-bit'e geçişi hızlandıracak bir
katalizör gibi düşünülmesi mümkün olabilir bazılarınca ama bu 32-bit
kullanıcılarının geliştirici tarafından çok önemli diye altı çizilen bir
güvenlik önleminden mahrum etmek için iyi bir neden olamayacağını düşünüyorum.

[b]
Kaynak: Donanımhaber