Siber Güvenlik                                                                                   BILGEM
                                                                                                  TEKNOLOJI








              le belirlenen makine öğrenimi sistemleri
              üzerinde  devam  eden  bulandırma  testi
              çalışmaları da mevcut olup, bir girdi için
              çeşitli  çıktılar  üretebilen  protokol  uygu-
              lamalarında  durum  bilgili  yazılımın  nasıl
              test  edilebileceği  gibi  konularda  zorluk-
              lar ve açık problemler de bulunmaktadır.
              Olaylar dizisi olarak girdiler alan GUI ta-
              banlı sistemlerin testleri de bir diğer çö-
              züm bekleyen zor problemler arasındadır.

              Tüy Bulandırma yapılan başlıca uygulama
              alanlarından bir tanesi de dosya formatı
              testleridir.  Dosya  formatı  tüy  testlerinin
              önemli bir alt alanı da web tarayıcılarında
              yapılan  testlerdir.  Tarayıcılar  tarafından
              işlenen dosya türleri, HTML, CSS, Javasc-
              ript  dosyaları  olarak  öne  çıkmaktadır.
              Özellikle, tarayıcıların DOM yapılarının ay-
              rıştırılması ve sayfaların görüntülenmesi
              şu anda bulandırma testi yapılan popüler
              alanlardır.  Web  tarayıcılarına  yönelik  iyi
 tılı çalışma zamanı bilgileri ve programın tasarı-  enstrümantasyonudur.  Bu  tür  enstrümantasyon-  bilinen tüy testi araçları, Grinder çerçevesi altında
 mı hakkında bazı veriler bilinmektedir. Beyaz kutu   la,  gri  kutu  test  aracı,  çalışma  zamanında  hedef   COMRaider ve BF3’tür. Diğer yandan, ağ sistemle-  landırma testleri, daha sonraki yıllarda, sistemlerde
 testleri,  sembolik  yürütme  adı  verilen  bir  tekniğe   programın kod kapsamını elde edebilir; bu bilgiyi,   rinde kullanılan protokol testleri de çarpıcı tüy testi   mevcut olan ve bilinmeyen hataları bulmadaki ve-
 dayanmaktadır. Bu teknik, program yollarını siste-  örneğin,  genetik  algoritmalar  yardımıyla  mutas-  alanlarındandır.   rimliliğini artırmak adına birçok farklı teknik ile bir
 matik olarak numaralandırmak için program anali-  yon  stratejilerini  güncellemek  ve  daha  fazla  yü-  arada kullanıldı. Özellikle son yıllarda farklı bulan-
 zi ve kısıtlama çözücüleri kullanmaktadır.   rütmeyi  kapsayabilecek  test  senaryoları  oluştur-  dırma testi yaklaşımlarının karma olarak bir arada
 mak  için  kullanır.  Gri  kutu  tüy  testleri  yardımıyla   Protokol üzerinde yapılan testlerin zor kısmı, ser-  kullanılması popüler bir hale geldi ve bir süre daha
 Beyaz kutu bulandırma testleri sisteme verilen bir   Google, Chrome tarayıcısında sekiz yıllık bir süre   vislerin kendi haberleşme protokollerini belirleyebil-  bu şekilde gideceği açıktır. Bununla birlikte tüy test-
              mesidir. Ayrıca, bu tip protokollerin standartlarının
 girdi verisinin yol koşulunun hesaplamasını yapar;   içerisinde 16.000’den fazla hata ve üç yıl boyunca   belirlenmesi  de  zordur.  Dahası,  tanımlı  doküman-  lerinin  daha  akıllı  hale  gelmesi,  sistemlerde  bilin-
 yani verilen girdi ile sistem içerisinde kodsal ola-  160’ın  üzerinde  açık  kaynaklı  yazılım  projesinde   te edilmiş protokoller için bile RFC dokümanı gibi   meyen ve daha derinlerde saklı hataları daha fazla
 rak nerelere gidileceği, nasıl bir yol izleneceği sem-  11.000’den fazla hata tespit etmiştir [1].  spesifikasyonları takip etmek hâlâ zor bir iştir. Bazı   sayıda  bulabilmesi  için  makine  öğrenimi  ve  derin
 bolik olarak bilinebilmektedir. Buradan yola çıka-  temsili protokol tüy testi araçlarına örnek vermek   öğrenme yöntemleri sıcak bir gündem olarak ken-
 rak sistemde hesaplanan yol koşulları, mutasyon   Bununla birlikte, AFL (American Fuzzy Lop) adıyla   gerekirse; SPIKE, AutoFuzz, ve SNOOZE bu alanda   dini göstermektedir. Bu şekilde etkinliği, bilinirliği ve
 tabanlı  yöntemlerle  değiştirilerek  sisteme  daha   bilinen ve yaygın kullanımı olan gri kutu tüy testi   sık  kullanılanlar  arasındadır.  SPIKE,  ağ  protokolü   verimliliği artan tüy testlerinin kullanımı, son yıllar-
 sonraki  test  adımlarında  ne  tip  veriler  girilmesi   aracında, yol kapsama bilgisi gibi çalışma zamanı   stres testlerini hızla oluşturabilir. AutoFuzz, Sonlu   da önemi giderek artan IoT uygulamalarında, kritik
 açısından yönlendirici olmaktadır. Bununla birlikte,   bilgileri ikili enstrümantasyonla toplanır. Bu bilgiler,   Durum Otomatı oluşturarak protokol uygulaması-  altyapı özelliği gösteren sistemlerde, otonom araç-
 beyaz kutu tüy testlerindeki en büyük sorunlardan   test  senaryosu  oluşturma  sürecine  rehberlik  et-  nı öğrenebilir ve öğrenilen bilgileri test senaryola-  larda ciddi anlamda artış göstermektedir.
 bir tanesi yol patlaması (Path Explosion) problemi   mesi için Test Durumu Üretme Modülüne aktarılır.   rı oluşturmak için daha fazla kullanabilir. SNOOZE
 olarak adlandırılan sembolik yürütme sorunlarıyla   AFL aracının bulduğu hatalar, genellikle programın   aracı ise durum bilgisine dayalı bir tüy testi yaklaşı-  Kaynakça
 ilgilidir. Bunun nedeni, hedef programdaki koşullu   çökmesine neden olan veya korsanlar tarafından   mı ile protokol kusurlarını tanımlayabilir.  [1] M. Böhme, C. Cadar and A. Roychoudhury, “Fuzzing: chal-
 dalların genellikle çok sayıda olmasıdır; küçük bo-  istismar edilebilen arabellek taşması, erişim ihlali,      lenges and reflections,” IEEE Software, vol. 38, no. 3, pp. 79 186,
 yutlu bir uygulamada bile çok sayıda yürütme yolu   yığın parçalama gibi bellek işlemleriyle ilgilidir.  Bulandırma Testlerinin Geleceği  May June 2021.
 üretilebilir. Dolayısıyla, orta ve büyük ölçekli uygu-  İlk ortaya çıktığı yıllarda sadece bir kara kutu testi   [2] C. Chen et al., “A systematic review of fuzzing techniques,”
 lamalarda beyaz kutu testleri çalıştırıldığında sis-  Bulandırma Testi Uygulama Alanları  ve rasgele girdi üretimi ile kendisini gösteren bu-  Computers & Security, vol. 75, pp. 118 137, June 2018.
 temde gidilmesi gereken tüm olası yollar zamanla   Bulandırma Testleri, girdi verisi olarak dosya alan
 çok fazla artacağı için, her birinin çalıştırılması sis-  sistemler,  işletim  sistemi  çekirdeği,  protokoller,
 API’lar,  web  uygulamaları,  ActiveX  uygulamala-
 temin performansı açısından neredeyse olanaksız   rı, sanal makineler, web tarayıcıları, JSON verileri,
 hale gelmektedir.  Javascript  derleyiciler,  dağıtılmış  sistemler  gibi
 birçok farklı uygulama alanında yürütülebilir. Yay-
 Gri Kutu Testleri  gın  olarak  komut  satırı  araçlarında,  dosya  ayrış-
 Gri  kutu  bulandırma  testleri,  test  edilen  program   tırıcılarında yapılan tüy testlerinin yanı sıra, çevre
 hakkında  kısmi  bilgiler  içeren  yazılım  hataları-  ile  etkileşimde  olan  siber-fiziksel  sistemlerde  ve
 nı etkili bir biçimde bulabilmek için kara kutu ve   IoT  platformlarında  yapılan  tüy  testi  çalışmaları
 beyaz  kutu  testlerinin  ortasında  bir  yerdedir.  Gri   da son zamanların ilgi odağı haline gelen çarpıcı
 kutu testlerde yaygın olarak kullanılan yöntem kod   konulardandır. Ayrıca, davranışları eğitim verileriy-



 60                                                       61