Upload
gaurav
View
80
Download
0
Embed Size (px)
DESCRIPTION
Zarar Verici Lojik. Erhan Anuk İTÜ Bilişim Enstitüsü, Bilgisayar Bilimleri. Sunum Planı. Zarar verici lojik nedir? Sınıflandırma Örnekler Zarar verici lojik teorisi Savunma Mekanizmaları. Zarar Verici Lojik Nedir?. - PowerPoint PPT Presentation
Citation preview
Zarar Verici Lojik
Erhan Anuk
İTÜ Bilişim Enstitüsü, Bilgisayar Bilimleri
30.03.2004 Erhan Anuk 2
Sunum Planı
Zarar verici lojik nedir?SınıflandırmaÖrneklerZarar verici lojik teorisiSavunma Mekanizmaları
30.03.2004 Erhan Anuk 3
Zarar Verici Lojik Nedir?
Zarar verici lojik bir bilgisayar sisteminin güvenlik politikasını ihlal eden ve bozan komutlar setidir.
Zarar verici lojik içeren programlar,Verileri değiştirebilir veya zarar verebilir.Veri çalabilir.Yetkisiz erişim sağlayabilir.
30.03.2004 Erhan Anuk 4
Zarar Verici Lojik Nedir? (II)
Sistemi kendi çıkarları için kullanabilir veya zarar verebilir.
Kullanıcının yapmasını istediği işin dışında kullanıcının haberi olmadan başka işlemler yapar.
30.03.2004 Erhan Anuk 5
Zarar Verici Kod Sınıflandırması
Zarar verici yazılım
Konak programa ihtiyacı olanlar
BağımsızOlanlar
Arka Kapı Lojik Bomba
TruvaAtı
Virus Solucan Zombi
Kendini kopyalayabilenler
30.03.2004 Erhan Anuk 6
Truva Atları
Truva atı belgelenmiş etkilerinin yanında belgelenmemiş ve beklenmeyen etkileri de varolan bir yazılımdır.
30.03.2004 Erhan Anuk 7
Truva Atları (II)
Basit bir truva atı:cp /bin/sh /tmp/.xxsh
chmod o+s,w+x /tmp/.xxsh
rm ./ls
ls $*
30.03.2004 Erhan Anuk 8
Truva Atları (III)
Kendilerini kopyalayabilirler.Örnek: animal
Bilgisayar oyunuÇalıştığında kendisinin özdeş bir kopyasını
çıkartıyor.Sabit disk üzerinde çok yer kaplanmasına yol
açtı.Belirli bir tarihten sonra oynanınca kendi kendini
silmeye başladı.
30.03.2004 Erhan Anuk 9
Virüsler
Kendisini bir veya birden fazla dosyanın içine yerleştirebilen ve daha sonra belirli bir eylem gerçekleyen programlara bilgisayar virüsü denir.
Latincede zehir anlamına gelir.Konak programa ihtiyaç duyar.Yorumlayıcılar tarafından da
çalıştırılabilirler.
30.03.2004 Erhan Anuk 10
Virüsler (II)
Yaşam Evreleri: Uyku Evresi
Yayılma Evresi
Tetikleme Evresi
Yürütme Evresi
Program V:={goto main;1234567;
subroutine infect-executable :={loop;file:=get-random-executable-file;if(first-line-of-file = 1234567)then goto loopelse prepend V to file;}
subroutine do-damage:={whatever damage is to be done}
subroutine trigger-pulled:={return true if some conditions hold}
main: main-proram:={infect-executable;if trigger-pulled then do-damage;goto next;}
next:}
30.03.2004 Erhan Anuk 11
Virüsler (II)
CV
P`1P2
CV
P`1
CV
P’2P1 P2
1
2
3
4
30.03.2004 Erhan Anuk 12
Virüsler (III)
Açış Sektör VirüsleriKendini açış sektörü (boot sector) üzerine
kopyalayan virüslere açış sektörü virüsleri denir.
Örnek: Brain virüsüÇok Yönlü Virüsler
Hem açış sektörünü hem de yürütülebilir programlara buşabilen virüslerdir.
(multipartite viruses)
30.03.2004 Erhan Anuk 13
Virüsler (IV)
TSR Virüsleri: (Terminate and Stay Resident)Bu tip virüsler virüslü uygulama sona
erdikten sonra da hafızada kalarak diğer dosyalara bulaşabilirler.
Encroacher virüsü TSR virüslere örnek olarak gösterilebilir.
30.03.2004 Erhan Anuk 14
Virüsler (V)
Gizlenebilir Virüsler:Bulaştıkları dosyalarda virüs bulunduğunu
gizlerler.
Çağrılan komuta göre uygulamaya cevap gönderirler.
IDF virüsü veya 4096 virüsü
30.03.2004 Erhan Anuk 15
Virüsler (VI)
Şifrelenmiş virüsler:Küçük bir deşifre yordamı hariç bütün virüs
bilgisi şifrelenmiştir.Anti-virüs araçları yakalanmamak için.
Virüs KoduDeşifreyordamı
Şifrelenmiş virüs kodu
Deşifreleme anahtarı
30.03.2004 Erhan Anuk 16
Virüsler (VII)
Polymorf Virüsler:Polymorf virüsler başka dosyalara
bulaşırken herseferinde yapı değiştirirler.Aynı işlevi gören farklı komutlar kullanarak
veya hiçbir etkisi olmayan komutlar kullanarak bunu gerçeklerler.
Şifrelenmiş virüslerin devamıdırlar ve aynı teknikleri kullanırlar.
30.03.2004 Erhan Anuk 17
Virüsler (VIII)
Makro Virüsleri : Yürütülen komutlar yerine yorumlanan (interprete)
komutlar kullanan virüslere makro virüsleri denir.
Kavramsal olarak makro virüslerin sıradan virüslerden bir farkı yoktur.
Makro virüsler yürütülebilir dosyalara da bulaşabilir.
Makro virüsler üzerlerinde bulundukları sistemin mimarisinden bağımsız olarak çalışırlar.
30.03.2004 Erhan Anuk 18
Solucanlar
Bilgisayar solucanları virüslerden farklı olarak kendilerini bir bilgisayardan başka bir bilgisayara kopyalayan programlardır.
Bilgisayar solucanları virüslerden farklı olarak kendilerini bir bilgisayardan başka bir bilgisayara kopyalayan programlardır.
Bilinen ünlü solucanlara örnek olarak 2001’de yayılan ve Microsoft IIS sunucularını etkileyen Code Red I ve Code Red II, ve Nimda solucanları verilebilir.
30.03.2004 Erhan Anuk 19
Lojik Bombalar
Virüsler ve solucanların atası olarak kabul edilen lojik bombalar, belirli bir sistem olayı gerçekleştiğinde bazı fonksiyonları çalıştıran kod parçacıklarıdır.
Tim Lloyd, Omega Engineering.
30.03.2004 Erhan Anuk 20
Zombiler, Tavşanlar, Bakteriler
Zombiler gizlice internete bağlı başka bir bilgisayar sistemini ele geçiren programlardır.
Bakteri veya tavşan ismiyle adlandırılan bu zarar verici programlar sistem üzerindeki aynı türdeki kaynakları tüketerek sistemi kullanılamaz hale getirirler.
30.03.2004 Erhan Anuk 21
Zarar Verici Lojik Teorisi
Zarar verici kodların lojiği birbirine çok benzemektedir.
Zarar verici lojiği ortaya çıkaracak bir tarayıcı olabilir mi?
Bir programın içinde kendini çoğaltan kodu saptayabilecek bir algoritma var mıdır?
30.03.2004 Erhan Anuk 22
Zarar Verici Lojik Teorisi
v’ v v v’
k’ k’+j k k+j k k+j k’ k’+j
Cohen’in virüs tanımı
30.03.2004 Erhan Anuk 23
Savunma Mekanizmaları
Zarar verici lojiğe karşı savunma mekanizmaları, zarar verici lojiğin varolan çeşitli özelliklerinden yararlanarak saptama yapar veya çalışmasını bloke eder.
Bu mekanizmalar şüpheli durumları engeller.
30.03.2004 Erhan Anuk 24
Savunma Mekanizmaları (I)
Veri ve Komut Şeklinde Davranan Zarar Verici Lojik
Bu tekniği kullanan sistemlerde bütün programlar veri olarak varsayılır. Ancak bir sertikasyon otoritesi programın veri özelliğini yürütülebilir program özelliğine çevirdiği zaman program sistemde çalışabilir duruma gelir.
30.03.2004 Erhan Anuk 25
Savunma Mekanizmaları (II)
Kullanıcı Kimliğine Dayanan Zarar Verici Lojik
Bazı komut ve programların belirli dosyalara erişiminin denetlenmesi, ve bir programın dosya erişimlerinin önceki bilgi birikimlerine bakarak makul olup olmadığının kontrol edilmesiyle olabilir.
30.03.2004 Erhan Anuk 26
Savunma Mekanizmaları (III)
Koruma Etki Alanı Sınırlarını Paylaşım Yolu ile Aşan
Zarar Verici Lojik Farklı koruma etki alanlarından olan
kullanıcıların dosya ve program paylaşımını engelleme zarar verici lojiğin bu etki alanları arasında yayılmasını engellemek açısından çok etkili bir yoldur.
Zorunlu erişim denetim mekanizması
30.03.2004 Erhan Anuk 27
Savunma Mekanizmaları (IV)
Dosyaları Değiştiren Zarar Verici Lojik
Değişim saptama kodlarını kullanan mekanizmalar korunacak dosyalara belirli bir fonksiyon (örn: öz alma) uygulayarak bu dosyanın bir çeşit imzasını elde ederler ve daha sonra bu imzayı kullanarak dosyanın değişip değişmediğini kontrol ederler.
Örnek: Tripwire (Unix)
30.03.2004 Erhan Anuk 28
Savunma Mekanizmaları (V)
Belirtimlerin Ötesinde İşlev Gösteren Zarar Verici Lojik Varolan zarar verici lojik belirtimlerinin dışında
hareket eden zararlı programlar için de çeşitli denetim mekanizmaları ortaya atılmıştır.
Programları parçalara bölerek her bir parçanın ayrı ayrı özlerinin alınıp saklanması.
N-versiyonlu programlama
30.03.2004 Erhan Anuk 29
Savunma Mekanizmaları (VI)
İstatistiksel Özellikleri Değiştiren Zarar Verici Lojik Zarar verici lojik tarafından etkilenmiş
programların istatistiksel özelliklerinin değişmesi de saptama mekanizmalarında kullanılan iyi bir yöntemdir. Artan dosya uzunluğu, yürütülebilir dosyalara yazma işlemlerinde artışlar gibi çeşitli istatiksel değerler kullanılarak zarar verici lojik saptanabilir.
30.03.2004 Erhan Anuk 30
Sonuç
Komplike bir problemStandard erişim denetim mekanizmaları
zayıf kalıyor.Her geçen gün yenileri ortaya çıkıyor.Sistem zayıflıklarını hedef alıyor.Savunma mekanizmaları gerçeklenmeli.
30.03.2004 Erhan Anuk 31
Kaynaklar
[1]. Computer Security: Art and Science, Matt Bishop, 2003
[2]. Network Security Essentials, Application and Standards, William Stallings, 2003
[3]. An Overview of Computer Viruses in a Research Environment, Matt Bishop
[4]. Computer Viruses as Artifical Life, Eugene H. Spafford
[5]. Trusting Software: Malicious Code Analysis, Jay Kurosky
30.03.2004 Erhan Anuk 32
Sorular
?