Windows Vista'ya Çeyrek Kala: Anti-Virüs Firmalarından Patchguard Tartışması

Çok kısa süre içerisinde RTM (Release To Manufacturing) olup son şeklini almayı bekleyen Windows Vista, pazardaki aslan payına sahip Anti-Virüs firmalarını şu sıralar oldukça kızdırıyor.

Bill Gates'in geliştirilmesine harcanacak paranın aya inişle aynı tutarda olacağınısöylediği, Microsoft'un yaklaşık 5 senedir üzerinde çalıştığı Windows Vista selefinden çekici arayüzü ve işlevselliğe ilişkin bir kaç yenilik haricinde esas olarak arka planda kalan pek göz önüne gelmeyen güvenliğe yönelik geliştirmeler ile ayrılıyor

Microsoft'un deneme sürümlerinde kullanıcılara ilk kez tanıttığıUAC (User Account Control), sürücüleri yüklemek için dijital imza zorunluluğu ve çeşitli sürücülerin kernel'e bağlanmasını engelleyen Patchguard (Kernel Protection) teknolojisi Vista ile beraber gelecek önemli güvenlik mekanizmaları.

Bu güvenlik mekanizmaları ile ilginç bir kaç nokta var. Öncelikle 32-bit ve 64-bit sürümler arasında güvenlik açısından bir takım farklar yaratılmış. Mesela 64-bit Vista sürümü sürücüler için dijital imza gerekliliği konusunda çok daha katı. Dijital imza gerekliliği derken burada konuya açıklık getirmekte fayda var: burada bahsedilen WHQL programı kapsamında imzalanması değil sürücülerin, geliştiricinin Microsoft tarafından Yayıncı Kimlik Sertifikası (PIC) ile tanımlanması ve kernel modunun buna bağlı olarak imzalanması anlamında kullanılıyor.

Microsoft PIC için ücret talep etmiyor ama geliştiricinin yıllık yaklaşık 500$ civarı bedeli olan Verisign Sınıf 3 Ticari Yazılım Yayın sertifikası olmasını şart koşuyor.

Çoğu kullanıcının sürücü yüklerken Windows XP altında sıklıkla karşılaştığı İmzasız Sürücü Yükleme [Unsigned Drivers] ekranı kullanıcı tarafından sürücünün yüklenmesi yolunda karar verilerek rahatça geçilebilirken 64-bit Vista altında kullanıcıya müdahale şansı bırakmadan kernele bağlanacak hiç bir sürücüye yüklenme izni verilmiyor.

İşletim sisteminde kernel (çekirdek) olarak adlandırılan kısım işletim sisteminin tüm kaynakların yönetimini ve donanım ile yazılımlar arasındaki iletişimi sağlayan kalbi diyebileceğimiz bölümü. Hali hazırdaki sistem stabilite bozuklukların pek çoğunun sebebi kodu iyi yazılmamış veya kötü niyetle hazırlanmış sürücülerin işletim sisteminin kernel'ine bağlanarak yarattığı problemler. Microsoft 64-bit Vista'da bu yeni dijital sertifika uygulaması ile yetkisiz ve kimliği belirsiz sürücülerin sisteme yüklenmesini önleyerek sistem stabilitesini büyük ölçüde arttırmayı hedefliyor ki bu işe yarayacak gerçekçi bir yaklaşım. Tabii bunun bir de negatif yüzü var: zaten kısıtlı olan 64-bit sürücülerin hiç biri Microsoft tarafından onaylanmadıkça yüklenemeyeceğinden bir ölçüde kullanıcıların hareket alanı da daralmış olacak Açıkcası yüksek stabilite karşısında oldukça ufak bir bedel gibi gözüküyor bu. 

64-bit Windows Vista ile gelen ve bu yazının yazılma sebebi olan Patchguard ise esasında üstte açıklanan kernel sürücü koruması ile büyük paralellikler taşıyan Vista'dan önce Windows Server 2003 SP1 x64 ve Windows XP x64 ile tanıtılan bir güvenlik teknolojisi. Bu teknoloji de 32-bit sürümde mevcut değil.

PatchGuard üstteki imzasız sürücü yükleme korumasına çok benziyor; burada uygulanan metod kernel'in sürekli gözetim altında tutularak kernel'e atılacak bir çengel yani müdahale durumunda işletim sisteminin kendini kapatması.Tabii ki kernel'e yapılacak müdahaleler de zorlaştırılmış/kısıtlandırılmış durumda.

PatchGuard'ın Symantec ve Mcafee gibi güvenlik devlerinin şimşeklerini üzerine çekmesinin de sebebi işte bu kernel'e düşük düzeyde yapılacak müdahalelerin oldukça kısıtlandırılması (PatchGuard'ı atlatmak teoride mümkün !).

Çoğu virüs, truva atı, root kit gibi zararlı yazılım düşük düzeyde kernel'e müdahale ederek sistem üzerinde etkili oluyor, PatchGuard sayesinde bu gibi zararlılara iyi korunma sağlanmış oluyor. Öte yandan bir de madalyonun öteki yüzü var; aynı zararlı yazılımlar gibi Anti-Virüs yazılımları da sistem üzerindeki kontrolünü kernel'e çengel atarak yani düşük düzeyde çalışarak sağlıyor dolayısıyla zararlıları engelleyen bu sistem aynı zamanda Anti-Virüs yazılımlarını da etkisiz kılıyor.

Bu da pazarda uzun süreler birbirinin aynı virüs tarama motorlarını yıl veya versiyon numarası değiştirerek kullanan Anti-Virüs yazılımcılarının kodlarında ciddi kaynak harcayarak değişiklik yapması gerekliliğini ortaya çıkartıyor. Bu noktada şunun altını çizmekte büyük fayda var: tüm Anti-Virüs yazılımları PatchGuard'dan etkilenmiyor zira kernel'e bağlanmanın alternatifleri mevcut. Mesela dosya sistem filtreleri (file system filters) özellikle Anti-Virüs yazılımları hitap eden önemli bir alternatif teknik.

Tartışmanın başını çeken Symantec ve Mcafee Microsoft'un bu teknolojisinin ters tepeceğini, güvenlik yazılımlarını kısıtlamanın zararlı yazılımlara gün doğuracağını bunlar yanında da PatchGuard'ın rekabet kurallarına aykırı olduğunu neredeyse bağırarak söylüyor.

Bir süre önce Avrupa Birliği'nce başlatılan Windows Vista soruşturması arkasındaki iki isimden birinin Symantec olduğu (Diğeri ise Office 2007'de varsayılan olarak PDF kayıt özelliği konulmasına karşı olan Adobe) ve firmanın Microsoft aleyhine yoğun biçimde kulis yaptığı oldukça yazıldı, çizildi. Symantec - Microsoft çekişmesinde bir başka ilginç milat taşı ise yazın başlangıcında Symantec'in "yuttuğu" Veritas'a ait Microsoft'a verilmiş bir lisansın Windows Vista ihlal edildiğine dair firmanın şikayetiydi.

Mcafee ise şu sıralar Microsoft'u Yönetim Kurulu Başkanı ve CEO'su George Samenuk imzasıyla yayınladığı açık bir mektupla kamuoyuna şikayet etmekle meşgul. Mektupta Mcafee açık bir dille Microsoft'u tüm dünyadaki bilgisayarları tek başına kontrol etmeye çalışan "Büyük Birader" olarak nitelendiriyor ve aynı zamanda bilgisayarları tehditlerden koruyan güvenlik konusunda da tek söz sahibi olmak istemekle suçluyor. Ek olarak Microsoft'un güvenlik için tek bir yönteme bağlı kalarak bunun kırılması durumunda dünyadaki Windows kullanan %97 oranındaki masaüstülerin aynı anda çökmesine yol açacağı iddiasıyla itham ediyor.

Anti-Virüs yazılımları arasında iyi bir nama sahip KAV olarakta anılan Kaspersky ise "kendi bulgularına göre Microsoft'un Vista çekirdeğine güvenlik yazılımlarının erişimini engellediğini söyleyemediklerini" belirtiyor.

Bu tartışmayı alevlendiren bir diğer nokta ise Microsoft'un "Windows OneCare" markasıyla sunduğu kendi güvenlik paketi. Güvenlik yazılımı üreticileri Microsoft'un kendi ürünlerine PatchGuard'ı aşıp haksız üstünlük sağlayabilecek bir adım atmasından rahatsızlık duyuyor. Microsoft'ta buna karşılık Vista'nın geliştirilmesinde görev alan bazı çalışanlarının bloglarında yazdıkları yazılarla gayri resmi olarak böyle bir şeyin kesinlikle mümkün olmadığının altını çizdi. Hatta Vista'ya entegre Windows Firewall'un bile bu şekilde haklara sahip olmadığının altı çizildi.

PatchGuard tüm saldırıları olmasa da şu an mevcut olan çok sayıdaki zararlıyı etkisiz hale getirebilecek aşılması teoride kanıtlarla ortaya konmuş ama pratikte çokta kolay olmayan iyi sayılabilecek bir güvenlik sistemi. Bazıları bu güvenlik çözümünü radikal ve kısıtlayıcı olarak adlandırabilir ama Windows'un kapalı kaynak koda sahip bir yazılım olduğu gerçeği göz önüne alındığında Microsoft'un bu açıdan eleştirilmesi çok anlamlı olmuyor.

Kişisel olarak işin başka bir yönünü ise biraz rahatsız edici buluyorum: bu güvenlik mekanizmasının sadece Vista'nın 64-bit sürümünde yer alıp çeşitli nedenlerle 32-bit sürümünde yer almaması bir türlü başlayamamış olan ve bir miktar daha zaman alacağı aşikar olan [2 sene veya daha uzun] 64-bit geçişi müddetince 32-bit kullanıcılarını belki daha uyumlu ama daha az güvenli bir ortamda çalışmaya zorluyor. PatchGuard'ın 64-bit'e geçişi hızlandıracak bir katalizör gibi düşünülmesi mümkün olabilir bazılarınca ama bu 32-bit kullanıcılarının geliştirici tarafından çok önemli diye altı çizilen bir güvenlik önleminden mahrum etmek için iyi bir neden olamayacağını düşünüyorum.