Çünkü güvenlik uzmanları ta Sobig’in yayılmaya başladığı günden bu yana, daha gelişmiş yeni bir türünün, son tarih olan 10 Eylül’den hemen sonra e-posta kutularına yayılmaya başlayacağı beklentisindeydiler. Sophos, Inc.’in güvenlikten sorumlu üst düzey analisti Chris Belthoff şöyle diyor:
- “Sobig.G kapıda. Sobig bu yılın ocak ayında yayılmaya başladığından bu yana, yeni versiyonlar seri halde geliyor. Virüslerin yeni sürümleri bir defada ortaya çıkıyor ve yeni çıkanla ondan bir önceki zamansal olarak asla çakışmıyor.”
Belthoff: “10 Eylül’den sonra ortaya yeni bir Sobig sürümü çıkarsa hiç şaşırmayacağım. Bu durum, virüsün şu ana kadar sergilediği görünümle bağdaşır.” diyerek network yöneticilerini daha da gelişmiş bir kurtçuğa karşı uyanık olmaları için uyarıyor.
“Sobig ilk defa 2003 Ocak ayında, yayılmak için built-in SMTP istemci ve yerel Windows paylaşımlarını kullanan bir kitlesel-postalama virüsü olarak saptandı. Bu virüsün zamanı dolunca, birden bire aynı özelliğe sahip yeni bir sürümü ortaya çıktı. O zamandan beri virüs her bir versiyonunun zamanı doldukça, yeni varyantın ortaya çıkması seri bir hal aldı” diye açıklıyor Belthoff.
Belthoff, yeni sürümlerin her zaman bir öncekinden daha “karmaşık” ve “yıkıcı” olduğunu söyleyerek ortaya çıkması beklenen Sobig.G’nin kurumsal network’lerde yeni bir kargaşa dönemine yol açabileceği uyarısında bulunuyor.
Adını virüsü taşıyan büyük e-posta eklerinden alan Sobig.F (so-big=oldukça-büyük) interneti geçtiğimiz haftalarda ağır bombardımana tuttu. Virüs, e-posta sunucularını çökerterek ve ülke sathındaki IT sistem yöneticilerinin başını ağrıtarak bir çok sektördeki network trafiğinin kilitlenmesine neden oldu.
Belthoff: “Yeni sürümü görene kadar arada birkaç günlük bir boşluk olabilir ama Sobig.G’nin ortaya çıkacağından eminiz. Önemli olan hasarı en aza indirgemek için gereğince hazırlık yapmak.” açıklamasını yaptı.
Londralı bir araştırma firması olan Mi2g’nin istatistiklerine göre Sobig.F’in verdiği eknomik hasar tahmini olarak 7 milyar dolar seviyesinde. Mi2g’nin araştırması Sobig’in “gelmiş geçmiş en zarar verici üçüncü virus” olduğunu gösteriyor ve Blaster ve Welchia virüslerinin yolunda ilerleyen Sobig, IT yöneticileri için büyük bir kabus haline gelmiş bulunuyor.
Symantec Security Response’un ürün müdürü David Bloomstein yeni bir Sobig sürümünün çıkıp çıkmayacağını ve ne zaman çıkacağını önceden bilmenin zor olduğunu söyleyerek: “Her ihtimale karşı gözümüzü dört açıyoruz. Virüsün 10 Eylülde etkinliğini bırakacağını biliyorduk. Yani kitlesel posta yollamayacak ve e-posta adreslerini toplamayacak. Bununla birlikte virüs halen aktif olabilir, ana sunucuların listesinden güncellemelerini indirmeye kalkışabilir.” açıklamasını yaptı.
Bloomstein, meçhul virüs yazıcısının denetiminde olan ana sunuculardan güncellemeleri indirebilme olanağını kontrol altında tutarak yeni saldırı dalgaları başlatmak üzere yeni talimatların yazılıma eklenebileceğini söyledi. Bloomstein: “Yüksek düzeyde alarmdayız. Takvimin neresinde olduğumuzu hesaba katarak, gözlerimizi dört açıyor ve olabilecek her şeyi kolluyoruz.” dedi.
Sophos’tan Belthoff yeni sürümlerde artan gelişmişliğin, ileride yapılacak endüstri sathında acımasız saldırıların habercisi olduğunu söyledi ve “[önceki tüm sürümler] temel olarak e-posta olarak gelen kitlesel-postalama kurtçuklarıydı. Bunlara engel olmaya başlama noktalarından biri budur.” diye uyardı.
Belthoff şirket ve kuruluşların sistem yöneticilerine yürütülebilir dosya (.exe gibi) içeren tüm e-posta eklerini bloklamalarını –ilk girişte engellemelerini– tavsiye etti ve “Eğer giriş noktasında engellemezseniz masaüstüne ulaşmasına izin veriyorsunuz ve çalışanlarınıza bu ekleri açmamaları yönünde yük bindiriyorsunuz demektir.” açıklamasını yaptı.
Belthoff: “Şirketler virüsü neden giriş noktasında yakalamıyorlar ben de bilmiyorum. Bu yaklaşım, günümüzde ve yürütülebilir ekleri giriş noktasında engelleme çağında standart bir uygulama olmalıdır. Eğer yürütülebilir dosyalar işletme için gerekli ise, belirli dosyaların giriş noktasında geçebileceği kuralları ve izinleri koymak kolay bir iştir.” dedi.
Belthoff, şirketlerin bu eklentileri giriş noktasında engellemeleri halinde virüslerin bu iletim yolunun tarihe karışacağını iddia etti.
Daha da önemlisi, hem Belthoff hem de Bloomstein başarılı virüs saldırılarının tehlikelerine karşı artan son kullanıcı bilinçlendirilmesini desteklediler. Belthoff: “Bir kuruluştaki güvenliğin en zayıf noktası ev kullanıcısı ve network’ü kısa süreliğine kullanan çalışanlardır. Bilgisayarlarında güncel virüs korunması olmayan ev kullanıcılarıyla iletişim halinde bir şirket büyük bir risk altındadır.” dedi.
Belthoff büyük kuruluşların tüm kullanıcılar için uzaktan güncelleme düşünmeleri gerektiğini söyledi ve şunları ekledi: “Sadece iki şey – ekleri giriş noktasında durdurmak ve ev kullanıcıları için virüs korumalarını uzaktan güncellemek – bir sonraki Sobig’in bu kadar hızlı yayılmasını önleyecektir.”
Symantec’ten Bloomstein Belthoff’a katıldı: “İlk olarak virüs tanımlarınızı güncel tutun. Sonra da dahili kullanıcılarınıza en iyi uygulamaları hatırlatın. Hiç kimse, beklemediği başıboş bir e-posta ataşlamasına tıklamamalıdır.”
Bloomstein: “Eğer bir sistem yöneticisi zamanlama kaygısı taşıyorsa ve bir tehlike olduğunu seziyorsa o zaman bir adım önden gitmeli ve yürütülebilen dosyaları giriş noktasında durdurmalıdır. Bunu yapmak için çok da ihtiyatlı olmak gerekmez.” diye ekledi.
“Bunlar standart uygulamalar olmalıdır. Söz konusu olan network güvenliği olunca 11 Eylülü ya da başka bir belirli günü tek ölçüt almamalıyız. Tarih ne olacak olursa olsun, herkes bir sonraki Sobig’ten kaygı duymalı.”
Kaynak : 