Windows Vista'ya Çeyrek Kala: Anti-Virüs Firmalarından Patchguard Tartışması

**Prof. Dr. Sinsi** · 07-28-2012

Çok kısa süre içerisinde RTM (Release To Manufacturing) olup son şeklini
almayı bekleyen Windows Vista, pazardaki aslan payına sahip Anti-Virüs
firmalarını şu sıralar oldukça kızdırıyor

Bill Gates'in geliştirilmesine harcanacak paranın aya inişle aynı tutarda
olacağını

söylediği, Microsoft'un yaklaşık 5 senedir üzerinde çalıştığı Windows Vista
selefinden çekici arayüzü ve işlevselliğe ilişkin bir kaç yenilik haricinde esas
olarak arka planda kalan pek göz önüne gelmeyen güvenliğe yönelik geliştirmeler
ile ayrılıyor
Microsoft'un deneme sürümlerinde kullanıcılara ilk kez tanıttığı

UAC (User Account Control), sürücüleri yüklemek için

dijital imza zorunluluğu ve çeşitli sürücülerin kernel'e bağlanmasını
engelleyen

Patchguard (Kernel Protection) teknolojisi Vista ile beraber gelecek önemli
güvenlik mekanizmaları

Bu güvenlik mekanizmaları ile ilginç bir kaç nokta var

Öncelikle 32-bit ve
64-bit sürümler arasında güvenlik açısından bir takım farklar yaratılmış

Mesela
64-bit Vista sürümü sürücüler için dijital imza gerekliliği konusunda çok daha
katı

Dijital imza gerekliliği derken burada konuya açıklık getirmekte fayda
var: burada bahsedilen WHQL programı kapsamında imzalanması değil sürücülerin,
geliştiricinin Microsoft tarafından Yayıncı Kimlik Sertifikası (PIC) ile
tanımlanması ve kernel modunun buna bağlı olarak imzalanması anlamında
kullanılıyor

Microsoft PIC için ücret talep etmiyor ama geliştiricinin yıllık yaklaşık
500$ civarı bedeli olan Verisign Sınıf 3 Ticari Yazılım Yayın sertifikası
olmasını şart koşuyor

Çoğu kullanıcının sürücü yüklerken Windows XP altında sıklıkla karşılaştığı
İmzasız Sürücü Yükleme [Unsigned Drivers] ekranı kullanıcı tarafından sürücünün
yüklenmesi yolunda karar verilerek rahatça geçilebilirken 64-bit Vista altında
kullanıcıya müdahale şansı bırakmadan kernele bağlanacak hiç bir sürücüye
yüklenme izni verilmiyor

İşletim sisteminde kernel (çekirdek) olarak adlandırılan kısım işletim
sisteminin tüm kaynakların yönetimini ve donanım ile yazılımlar arasındaki
iletişimi sağlayan kalbi diyebileceğimiz bölümü

Hali hazırdaki sistem stabilite
bozuklukların pek çoğunun sebebi kodu iyi yazılmamış veya kötü niyetle
hazırlanmış sürücülerin işletim sisteminin kernel'ine bağlanarak yarattığı
problemler

Microsoft 64-bit Vista'da bu yeni dijital sertifika uygulaması ile
yetkisiz ve kimliği belirsiz sürücülerin sisteme yüklenmesini önleyerek sistem
stabilitesini büyük ölçüde arttırmayı hedefliyor ki bu işe yarayacak gerçekçi
bir yaklaşım

Tabii bunun bir de negatif yüzü var: zaten kısıtlı olan 64-bit
sürücülerin hiç biri Microsoft tarafından onaylanmadıkça yüklenemeyeceğinden bir
ölçüde kullanıcıların hareket alanı da daralmış olacak Açıkcası yüksek stabilite
karşısında oldukça ufak bir bedel gibi gözüküyor bu

64-bit Windows Vista ile gelen ve bu yazının yazılma sebebi olan Patchguard
ise esasında üstte açıklanan kernel sürücü koruması ile büyük paralellikler
taşıyan Vista'dan önce Windows Server 2003 SP1 x64 ve Windows XP x64 ile
tanıtılan bir güvenlik teknolojisi

Bu teknoloji de 32-bit sürümde mevcut değil

PatchGuard üstteki imzasız sürücü yükleme korumasına çok benziyor; burada
uygulanan metod kernel'in sürekli gözetim altında tutularak kernel'e atılacak
bir çengel yani müdahale durumunda işletim sisteminin kendini kapatması

Tabii ki
kernel'e yapılacak müdahaleler de zorlaştırılmış/kısıtlandırılmış durumda

PatchGuard'ın Symantec ve Mcafee gibi güvenlik devlerinin şimşeklerini
üzerine çekmesinin de sebebi işte bu kernel'e düşük düzeyde yapılacak
müdahalelerin oldukça kısıtlandırılması (PatchGuard'ı
atlatmak
teoride mümkün !)

Çoğu virüs, truva atı, root kit gibi zararlı yazılım düşük düzeyde kernel'e
müdahale ederek sistem üzerinde etkili oluyor, PatchGuard sayesinde bu gibi
zararlılara iyi korunma sağlanmış oluyor

Öte yandan bir de madalyonun öteki
yüzü var; aynı zararlı yazılımlar gibi Anti-Virüs yazılımları da sistem
üzerindeki kontrolünü kernel'e çengel atarak yani düşük düzeyde çalışarak
sağlıyor dolayısıyla zararlıları engelleyen bu sistem aynı zamanda Anti-Virüs
yazılımlarını da etkisiz kılıyor

Bu da pazarda uzun süreler birbirinin aynı virüs tarama motorlarını yıl veya
versiyon numarası değiştirerek kullanan Anti-Virüs yazılımcılarının kodlarında
ciddi kaynak harcayarak değişiklik yapması gerekliliğini ortaya çıkartıyor

Bu
noktada şunun altını çizmekte büyük fayda var: tüm Anti-Virüs yazılımları
PatchGuard'dan etkilenmiyor zira kernel'e bağlanmanın alternatifleri mevcut

Mesela

dosya sistem filtreleri (file system filters) özellikle Anti-Virüs
yazılımları hitap eden önemli bir alternatif teknik

Tartışmanın başını çeken Symantec ve Mcafee Microsoft'un bu teknolojisinin
ters tepeceğini, güvenlik yazılımlarını kısıtlamanın zararlı yazılımlara gün
doğuracağını bunlar yanında da PatchGuard'ın rekabet kurallarına aykırı olduğunu
neredeyse bağırarak söylüyor

Bir süre önce Avrupa Birliği'nce başlatılan Windows Vista soruşturması
arkasındaki iki isimden birinin Symantec olduğu (Diğeri ise Office 2007'de
varsayılan olarak PDF kayıt özelliği konulmasına karşı olan Adobe) ve firmanın
Microsoft aleyhine yoğun biçimde kulis yaptığı oldukça yazıldı, çizildi

Symantec - Microsoft çekişmesinde bir başka ilginç milat taşı ise yazın
başlangıcında Symantec'in yuttuğu Veritas'a ait Microsoft'a verilmiş bir
lisansın Windows Vista ihlal edildiğine dair firmanın şikayetiydi

Mcafee ise şu sıralar Microsoft'u Yönetim Kurulu Başkanı ve CEO'su George
Samenuk imzasıyla yayınladığı

açık bir mektupla kamuoyuna şikayet etmekle meşgul

Mektupta Mcafee açık bir
dille Microsoft'u tüm dünyadaki bilgisayarları tek başına kontrol etmeye çalışan
Büyük Birader olarak nitelendiriyor ve aynı zamanda bilgisayarları
tehditlerden koruyan güvenlik konusunda da tek söz sahibi olmak istemekle
suçluyor

Ek olarak Microsoft'un güvenlik için tek bir yönteme bağlı kalarak
bunun kırılması durumunda dünyadaki Windows kullanan %97 oranındaki
masaüstülerin aynı anda çökmesine yol açacağı iddiasıyla itham ediyor

Anti-Virüs yazılımları arasında iyi bir nama sahip KAV olarakta anılan
Kaspersky ise kendi bulgularına göre Microsoft'un Vista çekirdeğine güvenlik
yazılımlarının erişimini engellediğini söyleyemediklerini

belirtiyor

Bu tartışmayı alevlendiren bir diğer nokta ise Microsoft'un Windows OneCare
markasıyla sunduğu kendi güvenlik paketi

Güvenlik yazılımı üreticileri
Microsoft'un kendi ürünlerine PatchGuard'ı aşıp haksız üstünlük sağlayabilecek
bir adım atmasından rahatsızlık duyuyor

Microsoft'ta buna karşılık Vista'nın
geliştirilmesinde görev alan bazı çalışanlarının bloglarında yazdıkları
yazılarla gayri resmi olarak böyle bir şeyin kesinlikle mümkün olmadığının
altını çizdi

Hatta Vista'ya entegre Windows Firewall'un bile bu şekilde haklara
sahip olmadığının

altı çizildi

PatchGuard tüm saldırıları olmasa da şu an mevcut olan çok sayıdaki zararlıyı
etkisiz hale getirebilecek aşılması teoride kanıtlarla ortaya konmuş ama
pratikte çokta kolay olmayan iyi sayılabilecek bir güvenlik sistemi

Bazıları bu
güvenlik çözümünü radikal ve kısıtlayıcı olarak adlandırabilir ama Windows'un
kapalı kaynak koda sahip bir yazılım olduğu gerçeği göz önüne alındığında
Microsoft'un bu açıdan eleştirilmesi çok anlamlı olmuyor

Kişisel olarak işin başka bir yönünü ise biraz rahatsız edici buluyorum: bu
güvenlik mekanizmasının sadece Vista'nın 64-bit sürümünde yer alıp çeşitli
nedenlerle 32-bit sürümünde yer almaması bir türlü başlayamamış olan ve bir
miktar daha zaman alacağı aşikar olan [2 sene veya daha uzun] 64-bit geçişi
müddetince 32-bit kullanıcılarını belki daha uyumlu ama daha az güvenli bir
ortamda çalışmaya zorluyor

PatchGuard'ın 64-bit'e geçişi hızlandıracak bir
katalizör gibi düşünülmesi mümkün olabilir bazılarınca ama bu 32-bit
kullanıcılarının geliştirici tarafından çok önemli diye altı çizilen bir
güvenlik önleminden mahrum etmek için iyi bir neden olamayacağını düşünüyorum

[b]
Kaynak: Donanımhaber

07-28-2012	#1
Prof. Dr. Sinsi	Windows Vista'ya Çeyrek Kala: Anti-Virüs Firmalarından Patchguard Tartışması Çok kısa süre içerisinde RTM (Release To Manufacturing) olup son şeklini almayı bekleyen Windows Vista, pazardaki aslan payına sahip Anti-Virüs firmalarını şu sıralar oldukça kızdırıyor Bill Gates'in geliştirilmesine harcanacak paranın aya inişle aynı tutarda olacağını söylediği, Microsoft'un yaklaşık 5 senedir üzerinde çalıştığı Windows Vista selefinden çekici arayüzü ve işlevselliğe ilişkin bir kaç yenilik haricinde esas olarak arka planda kalan pek göz önüne gelmeyen güvenliğe yönelik geliştirmeler ile ayrılıyor Microsoft'un deneme sürümlerinde kullanıcılara ilk kez tanıttığı UAC (User Account Control), sürücüleri yüklemek için dijital imza zorunluluğu ve çeşitli sürücülerin kernel'e bağlanmasını engelleyen Patchguard (Kernel Protection) teknolojisi Vista ile beraber gelecek önemli güvenlik mekanizmaları Bu güvenlik mekanizmaları ile ilginç bir kaç nokta var Öncelikle 32-bit ve 64-bit sürümler arasında güvenlik açısından bir takım farklar yaratılmış Mesela 64-bit Vista sürümü sürücüler için dijital imza gerekliliği konusunda çok daha katı Dijital imza gerekliliği derken burada konuya açıklık getirmekte fayda var: burada bahsedilen WHQL programı kapsamında imzalanması değil sürücülerin, geliştiricinin Microsoft tarafından Yayıncı Kimlik Sertifikası (PIC) ile tanımlanması ve kernel modunun buna bağlı olarak imzalanması anlamında kullanılıyor Microsoft PIC için ücret talep etmiyor ama geliştiricinin yıllık yaklaşık 500$ civarı bedeli olan Verisign Sınıf 3 Ticari Yazılım Yayın sertifikası olmasını şart koşuyor Çoğu kullanıcının sürücü yüklerken Windows XP altında sıklıkla karşılaştığı İmzasız Sürücü Yükleme [Unsigned Drivers] ekranı kullanıcı tarafından sürücünün yüklenmesi yolunda karar verilerek rahatça geçilebilirken 64-bit Vista altında kullanıcıya müdahale şansı bırakmadan kernele bağlanacak hiç bir sürücüye yüklenme izni verilmiyor İşletim sisteminde kernel (çekirdek) olarak adlandırılan kısım işletim sisteminin tüm kaynakların yönetimini ve donanım ile yazılımlar arasındaki iletişimi sağlayan kalbi diyebileceğimiz bölümü Hali hazırdaki sistem stabilite bozuklukların pek çoğunun sebebi kodu iyi yazılmamış veya kötü niyetle hazırlanmış sürücülerin işletim sisteminin kernel'ine bağlanarak yarattığı problemler Microsoft 64-bit Vista'da bu yeni dijital sertifika uygulaması ile yetkisiz ve kimliği belirsiz sürücülerin sisteme yüklenmesini önleyerek sistem stabilitesini büyük ölçüde arttırmayı hedefliyor ki bu işe yarayacak gerçekçi bir yaklaşım Tabii bunun bir de negatif yüzü var: zaten kısıtlı olan 64-bit sürücülerin hiç biri Microsoft tarafından onaylanmadıkça yüklenemeyeceğinden bir ölçüde kullanıcıların hareket alanı da daralmış olacak Açıkcası yüksek stabilite karşısında oldukça ufak bir bedel gibi gözüküyor bu 64-bit Windows Vista ile gelen ve bu yazının yazılma sebebi olan Patchguard ise esasında üstte açıklanan kernel sürücü koruması ile büyük paralellikler taşıyan Vista'dan önce Windows Server 2003 SP1 x64 ve Windows XP x64 ile tanıtılan bir güvenlik teknolojisi Bu teknoloji de 32-bit sürümde mevcut değil PatchGuard üstteki imzasız sürücü yükleme korumasına çok benziyor; burada uygulanan metod kernel'in sürekli gözetim altında tutularak kernel'e atılacak bir çengel yani müdahale durumunda işletim sisteminin kendini kapatmasıTabii ki kernel'e yapılacak müdahaleler de zorlaştırılmış/kısıtlandırılmış durumda PatchGuard'ın Symantec ve Mcafee gibi güvenlik devlerinin şimşeklerini üzerine çekmesinin de sebebi işte bu kernel'e düşük düzeyde yapılacak müdahalelerin oldukça kısıtlandırılması (PatchGuard'ı atlatmak teoride mümkün !) Çoğu virüs, truva atı, root kit gibi zararlı yazılım düşük düzeyde kernel'e müdahale ederek sistem üzerinde etkili oluyor, PatchGuard sayesinde bu gibi zararlılara iyi korunma sağlanmış oluyor Öte yandan bir de madalyonun öteki yüzü var; aynı zararlı yazılımlar gibi Anti-Virüs yazılımları da sistem üzerindeki kontrolünü kernel'e çengel atarak yani düşük düzeyde çalışarak sağlıyor dolayısıyla zararlıları engelleyen bu sistem aynı zamanda Anti-Virüs yazılımlarını da etkisiz kılıyor Bu da pazarda uzun süreler birbirinin aynı virüs tarama motorlarını yıl veya versiyon numarası değiştirerek kullanan Anti-Virüs yazılımcılarının kodlarında ciddi kaynak harcayarak değişiklik yapması gerekliliğini ortaya çıkartıyor Bu noktada şunun altını çizmekte büyük fayda var: tüm Anti-Virüs yazılımları PatchGuard'dan etkilenmiyor zira kernel'e bağlanmanın alternatifleri mevcut Mesela dosya sistem filtreleri (file system filters) özellikle Anti-Virüs yazılımları hitap eden önemli bir alternatif teknik Tartışmanın başını çeken Symantec ve Mcafee Microsoft'un bu teknolojisinin ters tepeceğini, güvenlik yazılımlarını kısıtlamanın zararlı yazılımlara gün doğuracağını bunlar yanında da PatchGuard'ın rekabet kurallarına aykırı olduğunu neredeyse bağırarak söylüyor Bir süre önce Avrupa Birliği'nce başlatılan Windows Vista soruşturması arkasındaki iki isimden birinin Symantec olduğu (Diğeri ise Office 2007'de varsayılan olarak PDF kayıt özelliği konulmasına karşı olan Adobe) ve firmanın Microsoft aleyhine yoğun biçimde kulis yaptığı oldukça yazıldı, çizildi Symantec - Microsoft çekişmesinde bir başka ilginç milat taşı ise yazın başlangıcında Symantec'in yuttuğu Veritas'a ait Microsoft'a verilmiş bir lisansın Windows Vista ihlal edildiğine dair firmanın şikayetiydi Mcafee ise şu sıralar Microsoft'u Yönetim Kurulu Başkanı ve CEO'su George Samenuk imzasıyla yayınladığı açık bir mektupla kamuoyuna şikayet etmekle meşgul Mektupta Mcafee açık bir dille Microsoft'u tüm dünyadaki bilgisayarları tek başına kontrol etmeye çalışan Büyük Birader olarak nitelendiriyor ve aynı zamanda bilgisayarları tehditlerden koruyan güvenlik konusunda da tek söz sahibi olmak istemekle suçluyor Ek olarak Microsoft'un güvenlik için tek bir yönteme bağlı kalarak bunun kırılması durumunda dünyadaki Windows kullanan %97 oranındaki masaüstülerin aynı anda çökmesine yol açacağı iddiasıyla itham ediyor Anti-Virüs yazılımları arasında iyi bir nama sahip KAV olarakta anılan Kaspersky ise kendi bulgularına göre Microsoft'un Vista çekirdeğine güvenlik yazılımlarının erişimini engellediğini söyleyemediklerini belirtiyor Bu tartışmayı alevlendiren bir diğer nokta ise Microsoft'un Windows OneCare markasıyla sunduğu kendi güvenlik paketi Güvenlik yazılımı üreticileri Microsoft'un kendi ürünlerine PatchGuard'ı aşıp haksız üstünlük sağlayabilecek bir adım atmasından rahatsızlık duyuyor Microsoft'ta buna karşılık Vista'nın geliştirilmesinde görev alan bazı çalışanlarının bloglarında yazdıkları yazılarla gayri resmi olarak böyle bir şeyin kesinlikle mümkün olmadığının altını çizdi Hatta Vista'ya entegre Windows Firewall'un bile bu şekilde haklara sahip olmadığının altı çizildi PatchGuard tüm saldırıları olmasa da şu an mevcut olan çok sayıdaki zararlıyı etkisiz hale getirebilecek aşılması teoride kanıtlarla ortaya konmuş ama pratikte çokta kolay olmayan iyi sayılabilecek bir güvenlik sistemi Bazıları bu güvenlik çözümünü radikal ve kısıtlayıcı olarak adlandırabilir ama Windows'un kapalı kaynak koda sahip bir yazılım olduğu gerçeği göz önüne alındığında Microsoft'un bu açıdan eleştirilmesi çok anlamlı olmuyor Kişisel olarak işin başka bir yönünü ise biraz rahatsız edici buluyorum: bu güvenlik mekanizmasının sadece Vista'nın 64-bit sürümünde yer alıp çeşitli nedenlerle 32-bit sürümünde yer almaması bir türlü başlayamamış olan ve bir miktar daha zaman alacağı aşikar olan [2 sene veya daha uzun] 64-bit geçişi müddetince 32-bit kullanıcılarını belki daha uyumlu ama daha az güvenli bir ortamda çalışmaya zorluyor PatchGuard'ın 64-bit'e geçişi hızlandıracak bir katalizör gibi düşünülmesi mümkün olabilir bazılarınca ama bu 32-bit kullanıcılarının geliştirici tarafından çok önemli diye altı çizilen bir güvenlik önleminden mahrum etmek için iyi bir neden olamayacağını düşünüyorum [b] Kaynak: Donanımhaber