Comodo Antivirus, Firewall, Internet Security: nasıl kurulur, nasıl kullanılır, ayarları ne olmalıdır?

Comodo, güvenlik dünyasının en tartışmalı isimlerinden biri. 2014 içinde katıldığı testlerin kiminde en iyilerden sayıldı kiminde ise en kötüler arasında yer aldı. Ürünleri hakkında iyi mi kötü mü tartışmaları bitmiyor. Fakat yazılımlar asıl eleştiriyi zor kullanımından dolayı alıyor.

Bilgisayarına Comodo (özellikle de Firewall ürününü) kuran birinin kısa zamanda uyarılardan sıkılıp yazılımı kaldırması yada kullanamayıp sorun yaşaması şaşırtıcı değil. Çünkü alışıldık güvenlik uyarıları dışında karşınıza birçok uyarı geliyor. HIPS, Sandbox gibi kavramları bilmeyen kullanıcılar da genellikle birşey anlamadığından ne yapacağını şaşırıyor.

Ben bu şaşkınlığı aşmak isteyenler için, Comodo güvenlik yazılımlarının kullanımını kısaca anlatayım istedim. Kurulum, ayar ve kullanımı resimli rehberlerle verdim. Bilmeniz gerekenleri açılır kutularda soru-cevap şeklinde anlattım. Comodo’yu merak ediyorsanız gözden geçirin derim.

Comodo Default-Deny denilen mantıkta çalışan bir yazılım. Bilgisayarınızda %100 koruma sağlamak istiyor. Bunun için bilgisayarınızdaki çalıştırılabilir dosyaları 3 kısma ayırıyor. Comodo tarafından analiz edilmiş, güvenilir kabul edilen dosyaların çalıştırılmasına izin veriliyor. Zararlı yazılımlar ise anında bloke ediliyor. Tabi geriye Comodo tarafından analiz edilmemiş (yada zararlı/temiz kategorisine sokulmamış) üçüncü bir grup kalıyor; henüz güvenilir mi zararlı mı olduğu bilinmeyen dosyalar.

Comodo eski sürümlerinde bu dosyaları HIPS ile takip ediyordu. HIPS, dosyaların sisteminizde yaptığı işlemleri takip eder ve zararlı olabilecek (mesela sürücü yüklemek gibi) bir davranışta bulunduğunda sizi uyarırdı. Siz programa güvenip hareketi gerçekleştirmesine izin verebilir yada bloke edebilirdiniz.

Tabi bu yöntem çok sayıda uyarıya neden oldu ve normal kullanıcılar pek hoş karşılamadı. Bu nedenle v7 sürümünde Policy-based Oto-Sandbox mantığına geçildi. Policy-based sandbox, dosyaların kısıtlanmış haklarla çalıştırılması demek. Yani program aslında arka planda HIPS uyarılarına sizin yerinize cevap veriyor, tehlikeli olan işlemleri bloke ediyordu. Bu esnada siz uyarı falan görmediğinizden, kullanım kolaylaşmıştı. Fakat bazı bypass olayları gerçekleşmeye başladı. En çok sıkıntı da ransomware denilen malware türünde yaşandı.

v8 sürümünde yazılım bir adım ileri gitti. Bilinmeyen dosyaları tamamen sistemden yalıtarak çalıştırmaya başladı. İşte bu çalışma biçimine sandbox deniyor. Bilinmeyen bir program çalıştırdığınızda, program sisteminizdeki dosyaları okuyabiliyor ama değiştiremiyor. Değiştirmeye çalıştığı veya yeni oluşturulan dosyalar sanal bir hücrede tutuluyor. Fiziki sistemde bir etki yaratmıyor. Sanırım bu konuyu en iyi açıklayan grafik, benzer şekilde çalışan Sandboxie tarafından verilmiş. Özet olarak çalışma biçimi şöyle;

000092-01-02-sandbox-nedir

Tabi burada yeni bir tehlike ortaya çıktı. Bilinmeyen her yazılım sanal sistemde çalıştırılmaya başlandığından, aslında güvenilir olan yazılımlarda sıkıntı yarattı. Mesela portable notepad uygulaması indirdiniz. Comodo, dosyayı tanımadı ve sandbox’ta çalıştırdı. Sonuç, oluşturduğunuz metin belgelerinin kaybolması olabilir. Bu nedenle, Otomatik olarak sandbox’a alınan uygulamaların takip edilmesi gerekiyor. Sonuçta buda biraz zahmetli oluyor.

Öte yandan oto-sandbox sisteminde bazı konular gölgede. Mesela dosya sisteminizden tamamen yalıtılmıyor. Halen bilgisayarınızdaki dosyaları okuyabiliyor. Varsayılan ayarlarda internet erişimi de engellenmediğinden acaba dosyalar bilinmeyen bir malware tarafından sunucuya yüklenebilir mi diye düşünmeden edemiyorum. Herhalde bu durumda Comodo, davranış analizi yapan Viruscope modülüne güvenmemizi istiyor. (Anladığımız bu, çünkü Sandbox’un bilinmeyen uygulamalara uyguladığı bir limit var mı, varsa bunun boyutu ne pek açık değil. Hakkında herhangi bir yardım belgesi bulamadım.)

HIPS, dosyaların bilgisayarınızda yaptığı tehdit olabilecek işlemleri takip eden ve sizi uyaran sistemdir. Mesela bir malware, bankacılık şifrelerinizi çalmak için tuş kaydedici kullanıyorsa, HIPS bu eylemi size bildirir. Sizde bloke ederek kendinizi korursunuz.

Fakat bu yöntemin 2 dezavantajı var. Birincisi karar size bırakılıyor. Dosyanın güvenilir olduğuna sizin karar vermeniz bekleniyor. Nereden bileceksiniz? burası pek net değil. Gösterilen bir zararlı uyarısı değil, “zararlı olabilecek” davranış uyarısı olduğundan uzun bir öğrenme süreci ile uyarıları, anlamlarını, sonuçlarını öğrenmeniz gerekiyor. Böylece sonuçta karar verebilir hale geliyorsunuz ama ömrünüzden ömür gidiyor.

Öğrendiğinizde de sonuç pek parlak değil. Bilgisayarınıza kurduğunuz ve Comodo tarafından tanınmayan birçok yazılım için sıkıntılı bir süreç başlıyor. Her yazılım için sürekli uyarı çıktığından sürekli düşünmek, karar vermek ve işlemlere onay/red vermek durumunda kalıyorsunuz. Pek te zevkli bir işlem değil.

Comodo, günümüzde belkide kullanabileceğiniz en gelişmiş HIPS sistemlerine sahip. Fakat bu kullanım zorlukları yüzünden HIPS normal kullanıcılar için uygun değil. Comodo geliştiricileri de bunu bildiğinden yıllar içinde önce Policy-based Sandbox, sonra da sanallaştırma teknolojisine geçti. Yazılımlarına Viruscope adında davranış analizi modülü ekledi. HIPS şu anda CIS ve CAV’da kapalı olarak geliyor. Ancak herhalde Matousec’den yüksek puan almak için Firewall yazılımında aktif tutuluyor.

Sektörde de HIPS yazılımlarına pek ilgi yok. Yıllar içinde birçok kaliteli HIPS yazılımı ilgisizlikten tarihe gömüldü. Zaman içinde Antivirus yazılımları da davranış analizi, kod emülasyonu, bulut analiz gibi modülleri hayata geçirdiğinden HIPS korumasına eskisi kadar ihtiyaç kalmadı.

Hayatınızı zorlaştırmamak için bende kullanımını önermiyorum. Bitdefender gibi gelişmiş AV yazılımları tam otomatik çalışarak harikalar yaratırken, HIPS ile uğraşıp durmak pek de mantıklı olmuyor. Zira bazı zararlıları durdurmada müthiş başarılı olsalar da,HIPS yazılımları da malware karşısında %100 başarı sağlamıyor.

O nedenle Comodo Firewall kullanıcılarına HIPS yerine Oto-Sandbox kullanmalarını öneriyorum.

Firewall testi yapan ve bunu sürdüren tek test sitesi Matousec. Güvenlik duvarlarını açık kaynak kodlu Proactive Security Challenge 64 testleri ile test ediyor ve sonuçlarını sitesinde yayınlıyor. İsteyen firmalar sonuçlara cevap vererek yayınlanmasını sağlayabiliyor.

Test sonuçları çok uzun süredir Comodo liderliğinde. Comodo’da aslında güvenlik duvarı alanında bu nedenle çok göze çarpıyor. Fakat test hakkında bazı şeyler söyleyelim;

Matousec’in güvenlik duvarı için yaptığı sızıntı testleri, sadece güvenlik duvarı ile ilgili değil. Aslında HIPS modülleri için geliştirilmiş. Yada tersten söylersek, test edilen şey aslında yazılımların HIPS modülü, onun dışındaki güvenlik katmanları değil.

Biraz açalım. Mesela Matousec testindeki keyboard testi, klavyeden tuş vuruşlarını tespit eden zararlılara karşı güvenlik çözümünün tespit yeteneğini ölçüyor. Fakat kullanılan örneğin tek yaptığı şey, bu. O nedenle sadece HIPS modülüne sahip ve anti-keylogger koruması olan “göreceli olarak daha ilkel” ürünler başarı gösteriyor. Davranış analizi gibi aslında daha gelişmiş modüllere sahip yazılımlar testten kalıyor.

Gerçek dünya ise sentetik Matousec testlerinden biraz daha farklı. Zararlılar sadece klavye vuruşlarınızı kaydedip bırakmıyor. Bunları hacker’a ulaştırmak için internet bağlantısı kuruyor, sürekli aktif kalabilmek için kendini açılışa ekliyor… vs.

İşte tüm bunlar bir araya geldiğinde Behavior Blocker denilen davranış analizi modülleri dosyanın yaptığı eylemlerin zararlı davranışı olduğuna kanaat getirip zararlıyı durduruyor. Sonuç daha az hatalı uyarı, daha doğru tespit oranı oluyor. Fakat birçok insan bu konuda bilgi sahibi olmadığından bir yanılgının içine düşüyor ve testten geçemeyen yazılımları başarısız görüyor.

Matousec bu nedenle çok eleştirilir ve güvenilir bir test kaynağı olarak anılmaz. Ben bu düşünceye katılmakla birlikte, HIPS kullanmayı tercih eden insanlar için halen iyi bir kaynak olduğunu düşünüyorum.

Comodo güvenlik yazılımlarını 3 farklı ürün olarak hazırlamış. İsimleri, Comodo Internet Security (CIS), Comodo Firewall (CFW), Comodo Antivirus (CAV) olarak geçiyor.

Comodo Internet Security tüm güvenlik özellikleri içeren tam sürüm ürünün adı. Comodo Antivirüs , imza tabanlı zararlı engelleme motorunu ve proaktif korumayı (HIPS + OtoSandbox + Viruscope) içeriyor. Comodo Firewall ürününde ise güvenlik duvarı ve proaktif koruma varken klasik Antivirus motoru bulunmuyor. Yinede dosyaların çalışmasına izin vermeden önce Comodo bulutu üzerinden sorgulama yaptığından kısmen Antivirüs özellikleri taşıyor.

Internet Security Firewall Antivirus
Antivirus Var Kısmen (Cloud AV) Var
Güvenlik Duvarı Var Var Yok
Oto-Sandbox Var Var (Pasif) Var
HIPS Var (Pasif) Var Var (Pasif)
Viruscope Var Var Var

Aslında Comodo’yu sevdiren en gözde güvenlik katmanları (Oto-Sandbox/HIPS) her 3 üründe de var. Comodo’nun kendine has çalışma biçimini de düşünecek olursak hangi ürünü seçtiğinizin pratikte pek de önemi yok.

Birçok kullanıcı da benim gibi düşündüğünden Comodo Firewall ile Avira free antivirüs gibi bir kombo yapılmasını öneriyor. Zira Comodo’nun Antivirus motorunun pek de iyi olmadığı düşünülüyor.

000092-05-01-comodo-hakkinda

Comodo imza güncelleştirmeleri 250mb'a yakın boyuta sahip. Yazılımı kurduktan sonra, güncelleştirmelerin yüklenmesi uzun sürüyor, bazen de başarısız oluyor. Bu yüzden imza veritabanını manuel olarak güncelleme yöntemi tercih edilebiliyor. İşlem basit;

Öncelikle Comodo Anti-Malware Database dosyasını indiriyoruz. Ardından programı açıp hakkında bölümüne giriyoruz.

000092-05-02-comodo-virus-veritabanini-ice-aktar

"Virus Veritabanını İçe Aktar" linkine tıklıyoruz.

000092-05-03

Önceden indirdiğimiz güncelleştirme dosyasını seçiyoruz.

000092-05-04-comodo-offline-guncelleme-tamamlandi

Comodo dosyayı içe aktarıyor ve offline güncelleme tamamlanıyor.

Leave a Reply