Bilgisayar Virüsleri Nasıl Tespit Ediliyor?

Bilgisayar Virüsleri Nasıl Tespit Ediliyor?

İnternet, yayıncılıktan gazete basımına ve pornografiye kadar tüm sektörlerde değişim yarattı. Casusluk da buna dahil. Kasım 2014’te ABD’li anti-virüs firması Symantec, Rusya ve Suudi Arabistan’daki ( ve başka yerlerdeki ) bilgisayar ağlarını hedef alan ve gizli bilgilere ulaşan gelişmiş bir zararlı yazılım Regin’in tespit edildiğini duyurdu.  Birkaç hafta öncesinde ise bir diğer anti-virüs firması Kaspersky Labs, Asya’daki otellerde konaklayan iş adamlarını ve önemli kişileri hedef alan casusluk virüsü DarkHotel’i tespit ettiğini duyurmuştu. Bunların ikisi de usta işi, karmaşık ve çok gelişmiş yazılımlar. Bu nedenle anti-virüs firmaları bunların ulusal devletlerin işi olduğunu düşünüyor. DarkHotel’den şimdilik Güney Kore sorumlu tutuluyor. Regin’in ise Amerikalıların yardımını alan İngilizlerin işi olduğu düşünülüyor. Peki anti-virüs araştırmacıları virüslerin nereden kaynaklandığını nasıl tespit ediliyor?

Aslında, en azından kesin bir şekilde, tespit etmediklerini söyleyebiliriz. Bilgisayar casusluğunun en cazip yanlarından biri ( en azından casuslar için ), arkasında kim olduğunun tespit edilme zorluğu. Gerçek casuslardan farklı olarak, bilgisayar kodları aksanlı konuşmuyor, soruşturmaya açık bir geçmişleri de yok. Bu nedenle anti-virüs araştırmacıları varsayımlara ve küçük ipuçlarına güvenmek zorunda kalıyor. Devletlerin yarattığı en ünlü zararlı yazılımlardan biri olan Stuxnet, İran’ın nükleer programını sabote etmek amacıyla kullanıldı. Elbette herkes bölgenin teknoloji açısından en gelişmiş ülkesi ve uzun bir süredir İran’ın nükleer bomba üzerinde çalıştığından endişe edilen ( İsrail’in İran fabrikalarına hava saldırısı planlandığı söyleniyor) İsrail’den şüphelendi. ABD de İsrail’in başlıca müttefiki ve İran’ın baş düşmanı olarak şüpheleri üzerine çekti. İsrail, Stuxnet üzerinde çalıştığını asla kabul etmezken, Amerika yetkilileri ise bunu inkar etmedi.

Bazen kodlamanın kendisi ipucu barındırabiliyor. Örneğin DarkHotel’in hedefleri çoğunlukla Asya’daydı ( büyük çoğunluğu Hindistan, Japonya ve Çin’deydi). Kod, Kore karakterleri ve Güney Koreli bir programcının takma isimlerini içeriyordu. Regin’in bir modülü ‘’LEGSPIN’’  olarak adlandırılmıştı, bunun da bir kriter terimi olması, şüphe alanını iyice daraltıyordu. Regin’i inceleyen araştırmacılar, bu virüsün daha önce Belgacom’a yapılan siber saldırıdaki virüs yazılımına çok benzer olduğunu vurguladı. Belgacom, müşterileri arasında Avrupa Birliği’nin ana kurumları bulunan, Belçikalı büyük telekomünikasyon firması. Eski ABD casusu Edward Snowden’dan sızdırılan bilgiler, bu saldırıyı İngiltere ile ilişkilendiriyordu.

Fakat tüm bunlar kesinliği olmayan bilgiler. Casuslar, düşmanlarının ( sivil güvenlik araştırmacıları da dahil ) olası virüsleri yok edici program yazabileceklerinin bilincinde. Bu nedenle ipuçlarına ya kazara ya da aldatma amacıyla bile bile yer veriyorlar. Finlandiyalı F- secure anti-virüs firmasının sahibi Mikko Hypponen, Rusya’nın ilk siber casusluk girişimlerinin bilinçli olarak Çin’e aitmiş gibi görünecek şekilde tasarlandığını vurguladı. Casusluk faaliyetleri söz konusu olduğunda hiçbir şeyin kesinliği yok.