Yazılım hatalarını takip eden bir şirket olan Secunia, aralarında Symantec, Trend Micro ve McAfee gibi büyük şirketlerin de bulunduğu piyasadaki en iyi güvenlik paketlerini kullanarak gerçekleştirdiği 300 sınama saldırısı sonucunda yayınladığı raporda; hiçbir güvenlik paketinin web üzerinden gerçekleştirilen program açıklarına yönelik saldırıları engelleyemediğini ortaya koydu.
Internet güvenlik paketlerini sınamaya tabi tutan Secunia şirketinin teknoloji yöneticilerinden Thomas Kristensen: "Internet güvenlik paketleri kendilerini, kullanıcıların çevrimiçiyken güvenli olabilmeleri için tek seçenek gibi lanse ediyor. Bize göre bu doğru değil." diyerek durumun vahametine dikkat çekti.
Secunia internet güvenlik paketlerini denerken yüzlerce program açığı tabanlı saldırı gerçekleştirdi; bu saldırıların bazıları sistemdeki açıkları tetiklerken, bazıları da bulaştıktan sonra virüs kodlarını aktif hale getirdi.
Microsoft'un Windows Live OneCare, AVG Technologies'in Internet Security 8.0 ve McAfee'nin Internet Security Suite 2009 güvenlik paketlerinden başlayarak sınama sonuçlarına baktığımızda, olayın ciddiyetini anlamaya başlıyoruz. Deneme testi sırasında saldırı kodları; Ofis belgelerinden, kötü niyetli kodlar entegre edilmiş resimlerden, tarayıcı ve ActiveX hatalarını tetikleyen zararlı web sitelerinden temin edildi. Sınama saldırısında hedef, Windows XP SP2 işletim sistemi kurulu bir sistemde ki birkaç eksik yama ve açık barındıran birkaç program olarak belirlenmiş.
Sınama sonuçlarını içeren rapordaki sayısal değerlere baktığımızda; Symantec güvenlik şirketinin geliştirdiği Norton Internet Security 2009'un, 300 saldırıdan 64'ünü keşfederek birinciliği kazanmış olduğunu görüyoruz. %21'lik bir saldırı algıma yüzdesi ile diğer güvenlik paketlerinin sınama saldırıları sonuçlarıyla karşılaştırıldığında Symantec'in rakiplerinden daha iyi olduğunu söyleyebiliriz. Bu çıkarımda bulunmamızı sağlayan istatistiklere baktığımızda ise Trend Micro şirketinin geliştirdiği Internet Security 2008 güvenlik paketinin saldırıların sadece %2,3'ünü, McAfee şirketinin Internet Security Suite 2009 adlı güvenlik paketinin de saldırıların sadece %1,8'ini algılayabilmiş olduğuna şahit oluyoruz.
Kristensen, Güvenlik paketlerinin 300 adet saldırı karşısında çaresiz kalmasının sebebini antivirüs yazılımı geliştiricilerinin, ancak bilgisayar korsanları tarafından yapılan Truva Atı, Solucan ve Casus yazılımları tabanlı saldırıların geniş kitleleri etkiledikten sonra durumu farkedip güncelleme çıkarmalarına bağlıyor.
"Açıkları algılayamaya odaklanmak yerine, virüslerin bulaştıktan sonra çalıştırdıkları kodlara (payload) odaklanıyorlar. Fakat virüslerin bulaştıktan sonra çalıştırdıkları kodlara odaklanırsanız, hep bilgisayar korsanlarından bir adım geride olursunuz. Bu noktada, bilgisayar korsanlarının güvenlik paketlerinin mevcut virüs veri tabanlarında (signature) bulunmayan ve tarama algoritmalarının da o anda göremediği bulaştıktan sonra çalıştırdıkları kodlar yazmaları kolay bir iş haline geliyor.
Güvenlik şirketleri, virüs bulaştıktan sonra çalışan bir kodu, virüs veri tabanlarına eklemek için ilk olarak kötü niyetli yazılımın bir örneğini ele geçiriyor ve güvenlik paketlerinin algılaması için gerekli güncellemeleri yayınlıyorlar. Bu güncellemeyi ancak bir süre sonra kullanıcılara iletebiliyor. Kristen bu işlemin en iyi ihtimalle saatler aldığını ve ayrı bir yazılımda bu zararlı uygulama içine gömüldükten sonra yayınlanırsa işlemin en baştan tekrar edildiğini söyledi.
Kristen sözlerine: "Güvenlik şirketleri virüs bulaştıktan sonra çalışan kodlara bakmaktansa, program ve işletim sistemlerinin açıklarına bakarak pek çok kötü niyetli yazılımı tek bir veri tabanı güncellemesi ile ekarte edebilirler." diyerek uzun süreli bakıldığında bunun daha kapsamlı bir çözüm sunduğunu belirtti.
Kristen, "Eğer birileri Microsoft Office programında ki bir açığın üzerine giderek saldırılar yapıyor ve bu saldırılarda yine Ofis belgelerini kullanıyorsa; bilgisayar korsanları bu açığa yönelik ne kadar yeni bulaştıktan sonra çalışan kod çıkarırsa çıkarsın; siz güvenlik şirketi olarak bu saldırıyı programa yönelik tek bir veri tabanı güncelleştirmesi yaparak engelleyebilirsiniz." diyerek program açıklarına yönelik veritabanı güncellemeleri çıkarmanın zaman aldıklarını bildiklerini söyleyerek son kullanıcının güvenliği açısından bakıldığında bu durumun her ne olursa olsun bahane edilmemesi gerektiğini belirtti.
Kristen, "Güvenlik yazılımları bilgisayarları tek başlarına korumak için yeterli değiller. Bilgisayar kullanıcıları, kullandıkları tüm programların güncelleştirmelerini takip etmeli ve bir yama yayınlandıktan sonra en kısa sürede bunu bilgisayarlarına yüklemeli. Burada önemli olan sadece Ofis, Medya oynatıcı,e-posta istemcisi gibi ana programlarını değil aynı zamanda diğer tüm programlarını da güncel tutarak, bilgisayarlarını güvenli hale getirmeliler." diyerek sözlerine son verdi.