Hazirladigim bu slaytta sanboxlarin ne oldugunu ve temelde nasil calistigini anlatmaya calistim. Tabi ki calisma sureci bu kadar kisa bir surec degil. Arastirip daha detayli bilgiler edinebilir ve benden daha iyisini de yapabilirsiniz. Bir dahaki ya da ondan da sonraki slaytimda sandboxlari nasil atlatabilecegimizi anlatabilirim. Eger bir elestiriniz yada bir oneriniz var ise slayt'in sonunda iletisim bilgilerim bulunuyor.
2. 2
Sandbox Nedir?
●
Sanbox, kisaca uzerinde bir yazilimi calistirip,
guvenli olup olmadigini test etmenize olanak
taniyan bir nimettir. Fakat uzun cevap vermemiz
gerek ki olayi iyice kavrayabilelim.
●
Bunu bir ornek uzerinden anlatmak isterim.
Sornasinda herzamanki gibi teknik taraflarina
deginecegim.
●
Size bir app verildigini, bu app’i calistirmaniz ve de
test etmeniz gerektigini dusunun.
3. 3
Sandbox Nedir?
●
Boyle bir durumda app’in guvenli olup olmadigini
bilmediginiz icin, onu test edebilecek bir ortam
gerekli. Iste burada devreye Sandboxlar giriyor. Bir
sanbox icerisinde ilgili uygulamayi calistirarak,
guvenli bir sekilde eger o uygulama zararli bir
yazilimsa bile sizler gram zarar gormeden
uygulamayi test etmis olacaksiniz. Ustelik ek
olarak sanbox icerisinde “Casus” dedigimiz bir
ozellikde mevcut
4. 4
Casus Nedir?
●
Casus, sandbox icerisindeki ilgili uygulamanin
proceslarina kendini enjekte eden bir yazilimdir. Bu
yazilim sayesinde ilgili uygulamanin zararli ya da
supheli hareketlerde bulunup bulunmadigini
kontrol eder ve test sonucunu sizlere raporlar.
●
Ve boylece sizler de bir uygulamanin zararli olup
olamdigini bu sekilde 0 etki ile anlamis olursunuz.
5. 5
0 Etki gercektende 0 mi?
●
Peki 0 etki gercektende 0 mi? Sanbox icerisindeki
uygulama sandbox da olup olmadigini anlayip,
buna gore hareket ediyor olamaz mi? Iste burasi
biraz muhim bir konu arkadaslar.
●
Hackerlar, yazmis olduklari bu art niyetli
yazilimlarin icerisine bazi kodlar ekleyerek, zararli
yazilimlari’nin bir sandbox icerisinde calisitirlip
calisitirilmadigini anlayabiliyorlar.
6. 6
0 Etki gercektende 0 mi?
●
“E anlasinlar ne olacak? Ben zaten test’e soktum.
Anlasada anlamasada ben zararli oldugunu anlayip
kullanmayacagim.” dediginizi duyar gibiyim (Yada
demiyorsunuzdur bilmiyorum salliyorum). O oyle
degil iste be dostum. Malesef ki o zararli yazilim
icersindeki bu durum yuzunden, kendisi eger bir
sandbox icerisinde calistirildiysa zararli bir islem
yapmiyor. Ve test sonucunda sizlere bu yazilima
guvenebileceginiz soyleniyor..
7. 7
0 Etki gercektende 0 mi?
●
Siz de gonul rahatligi ile o uygulamayi main
sisteminizde calistiriyorsunuz. Ve iste o sirada
uygulama zararli islemler yapabilecegini anlayip
ise koyuluyor..
●
Peki bunu nasil anliyor? Cok bla bla yaptik birazda
teknik kisimlara girelim :)
8. 8
Bla bla yapmamak.
●
Assembly programlama dilinde olan bazi registerlar
sayesinde cpumuzu ogrenebiliyoruz. Peki bu ne ise
yariyor? Cpumu ne yapacagim ben? Eger bir sanal
makine ortamindaysaniz cpunuz o sanalmakine’nin
adi olur. Ornegin virtualbox uzerindeyseniz cpunuz:
vbox.blablalbla gibi bir sey olur. Iste o zararli
yazilimlarda bunu kontrol ederek, yaramazlik yapip
yapmayacaklarina karar veriyorlar.
9. 9
Bla bla yapmamak.
●
Yani sandboxlari atlatabilen bir zararli yazilimin ilk
isi bir sanal makine/hypervisor ortaminda calisip
calismadigina bakmak oluyor. Bu sayede zararli bir
islem yapmayip kendini guvenli gibi gosteriyor.
●
Peki bu uslu cocuk rolunu sadece CPU’a bakarak mi
karar verebiliyor? Hayir. Mac adresinden bile
sandbox icerisinde olup olmadigini anlayabiliyor.
10. 10
Bla bla yapmamak.
●
Ornegin 00:50:56 mac adresi wmware’a aittir.
Biliyorsunuz ki mac adreslerinin ilk 3 oketi firimayi
tanimlar ki zaten uygulamamiz, bu tanimi
kullanarak sandbox icerisinde olup olmadigina
bakiyor. Ve ona gore islemler gerceklestiriyor.
●
08:00:57 ise virtualbox’a ait bir mac adresi. Bu gibi
daha bir cok mac adresinin bilgisine google da ufak
bir arastirma yaparak erisebilirsiniz. Public bilgiler
zaten.
11. 11
Bla bla yapmamak.
●
Ayrica bu yazilimlar CPU ve MAC bilgisi haricinde
dosya isimlendirmelerinden de sanal makine
icerisinde olup olmadigini anlayabiliyor. Ornegin
sanal makine uzerine bir seyler indirdiginizde
windows ya da linux bilgisayarinizin file
managerindan sanal makinenin dosyalarinda
gezinerek indirdiginiz seylerin dosyalarina sanal
makineyi acmadan erisebilirsiniz. Iste art niyetli
yazilimlarda bulunduklari yerin pathine bakarak
sandbox icerisinde olup olmadigini anlayabiliyor.
12. 12
Sanboxcularin gozu yasli bir son...
●
Hazirladigim bu slaytta sanboxlarin ne oldugunu ve
temelde nasil calistigini anlatmaya calistim. Tabi ki
calisma sureci bu kadar kisa bir surec degil.
Arastirip daha detayli bilgiler edinebilir ve benden
daha iyisini de yapabilirsiniz. Bir dahaki ya da
ondan da sonraki slaytimda sandboxlari nasil
atlatabilecegimizi anlatabilirim. Eger bir elestiriniz
yada bir oneriniz var ise asagidaki bilgilerden bana
ulasabilirsiniz.
●
Instagram: mertbingol0 | Twitter:mertbingol03