Page 63 - bilgem-teknoloji-dergisi-12
P. 63
Siber Güvenlik BILGEM
TEKNOLOJI
le belirlenen makine öğrenimi sistemleri
üzerinde devam eden bulandırma testi
çalışmaları da mevcut olup, bir girdi için
çeşitli çıktılar üretebilen protokol uygu-
lamalarında durum bilgili yazılımın nasıl
test edilebileceği gibi konularda zorluk-
lar ve açık problemler de bulunmaktadır.
Olaylar dizisi olarak girdiler alan GUI ta-
banlı sistemlerin testleri de bir diğer çö-
züm bekleyen zor problemler arasındadır.
Tüy Bulandırma yapılan başlıca uygulama
alanlarından bir tanesi de dosya formatı
testleridir. Dosya formatı tüy testlerinin
önemli bir alt alanı da web tarayıcılarında
yapılan testlerdir. Tarayıcılar tarafından
işlenen dosya türleri, HTML, CSS, Javasc-
ript dosyaları olarak öne çıkmaktadır.
Özellikle, tarayıcıların DOM yapılarının ay-
rıştırılması ve sayfaların görüntülenmesi
şu anda bulandırma testi yapılan popüler
alanlardır. Web tarayıcılarına yönelik iyi
tılı çalışma zamanı bilgileri ve programın tasarı- enstrümantasyonudur. Bu tür enstrümantasyon- bilinen tüy testi araçları, Grinder çerçevesi altında
mı hakkında bazı veriler bilinmektedir. Beyaz kutu la, gri kutu test aracı, çalışma zamanında hedef COMRaider ve BF3’tür. Diğer yandan, ağ sistemle- landırma testleri, daha sonraki yıllarda, sistemlerde
testleri, sembolik yürütme adı verilen bir tekniğe programın kod kapsamını elde edebilir; bu bilgiyi, rinde kullanılan protokol testleri de çarpıcı tüy testi mevcut olan ve bilinmeyen hataları bulmadaki ve-
dayanmaktadır. Bu teknik, program yollarını siste- örneğin, genetik algoritmalar yardımıyla mutas- alanlarındandır. rimliliğini artırmak adına birçok farklı teknik ile bir
matik olarak numaralandırmak için program anali- yon stratejilerini güncellemek ve daha fazla yü- arada kullanıldı. Özellikle son yıllarda farklı bulan-
zi ve kısıtlama çözücüleri kullanmaktadır. rütmeyi kapsayabilecek test senaryoları oluştur- dırma testi yaklaşımlarının karma olarak bir arada
mak için kullanır. Gri kutu tüy testleri yardımıyla Protokol üzerinde yapılan testlerin zor kısmı, ser- kullanılması popüler bir hale geldi ve bir süre daha
Beyaz kutu bulandırma testleri sisteme verilen bir Google, Chrome tarayıcısında sekiz yıllık bir süre vislerin kendi haberleşme protokollerini belirleyebil- bu şekilde gideceği açıktır. Bununla birlikte tüy test-
mesidir. Ayrıca, bu tip protokollerin standartlarının
girdi verisinin yol koşulunun hesaplamasını yapar; içerisinde 16.000’den fazla hata ve üç yıl boyunca belirlenmesi de zordur. Dahası, tanımlı doküman- lerinin daha akıllı hale gelmesi, sistemlerde bilin-
yani verilen girdi ile sistem içerisinde kodsal ola- 160’ın üzerinde açık kaynaklı yazılım projesinde te edilmiş protokoller için bile RFC dokümanı gibi meyen ve daha derinlerde saklı hataları daha fazla
rak nerelere gidileceği, nasıl bir yol izleneceği sem- 11.000’den fazla hata tespit etmiştir [1]. spesifikasyonları takip etmek hâlâ zor bir iştir. Bazı sayıda bulabilmesi için makine öğrenimi ve derin
bolik olarak bilinebilmektedir. Buradan yola çıka- temsili protokol tüy testi araçlarına örnek vermek öğrenme yöntemleri sıcak bir gündem olarak ken-
rak sistemde hesaplanan yol koşulları, mutasyon Bununla birlikte, AFL (American Fuzzy Lop) adıyla gerekirse; SPIKE, AutoFuzz, ve SNOOZE bu alanda dini göstermektedir. Bu şekilde etkinliği, bilinirliği ve
tabanlı yöntemlerle değiştirilerek sisteme daha bilinen ve yaygın kullanımı olan gri kutu tüy testi sık kullanılanlar arasındadır. SPIKE, ağ protokolü verimliliği artan tüy testlerinin kullanımı, son yıllar-
sonraki test adımlarında ne tip veriler girilmesi aracında, yol kapsama bilgisi gibi çalışma zamanı stres testlerini hızla oluşturabilir. AutoFuzz, Sonlu da önemi giderek artan IoT uygulamalarında, kritik
açısından yönlendirici olmaktadır. Bununla birlikte, bilgileri ikili enstrümantasyonla toplanır. Bu bilgiler, Durum Otomatı oluşturarak protokol uygulaması- altyapı özelliği gösteren sistemlerde, otonom araç-
beyaz kutu tüy testlerindeki en büyük sorunlardan test senaryosu oluşturma sürecine rehberlik et- nı öğrenebilir ve öğrenilen bilgileri test senaryola- larda ciddi anlamda artış göstermektedir.
bir tanesi yol patlaması (Path Explosion) problemi mesi için Test Durumu Üretme Modülüne aktarılır. rı oluşturmak için daha fazla kullanabilir. SNOOZE
olarak adlandırılan sembolik yürütme sorunlarıyla AFL aracının bulduğu hatalar, genellikle programın aracı ise durum bilgisine dayalı bir tüy testi yaklaşı- Kaynakça
ilgilidir. Bunun nedeni, hedef programdaki koşullu çökmesine neden olan veya korsanlar tarafından mı ile protokol kusurlarını tanımlayabilir. [1] M. Böhme, C. Cadar and A. Roychoudhury, “Fuzzing: chal-
dalların genellikle çok sayıda olmasıdır; küçük bo- istismar edilebilen arabellek taşması, erişim ihlali, lenges and reflections,” IEEE Software, vol. 38, no. 3, pp. 79 186,
yutlu bir uygulamada bile çok sayıda yürütme yolu yığın parçalama gibi bellek işlemleriyle ilgilidir. Bulandırma Testlerinin Geleceği May June 2021.
üretilebilir. Dolayısıyla, orta ve büyük ölçekli uygu- İlk ortaya çıktığı yıllarda sadece bir kara kutu testi [2] C. Chen et al., “A systematic review of fuzzing techniques,”
lamalarda beyaz kutu testleri çalıştırıldığında sis- Bulandırma Testi Uygulama Alanları ve rasgele girdi üretimi ile kendisini gösteren bu- Computers & Security, vol. 75, pp. 118 137, June 2018.
temde gidilmesi gereken tüm olası yollar zamanla Bulandırma Testleri, girdi verisi olarak dosya alan
çok fazla artacağı için, her birinin çalıştırılması sis- sistemler, işletim sistemi çekirdeği, protokoller,
API’lar, web uygulamaları, ActiveX uygulamala-
temin performansı açısından neredeyse olanaksız rı, sanal makineler, web tarayıcıları, JSON verileri,
hale gelmektedir. Javascript derleyiciler, dağıtılmış sistemler gibi
birçok farklı uygulama alanında yürütülebilir. Yay-
Gri Kutu Testleri gın olarak komut satırı araçlarında, dosya ayrış-
Gri kutu bulandırma testleri, test edilen program tırıcılarında yapılan tüy testlerinin yanı sıra, çevre
hakkında kısmi bilgiler içeren yazılım hataları- ile etkileşimde olan siber-fiziksel sistemlerde ve
nı etkili bir biçimde bulabilmek için kara kutu ve IoT platformlarında yapılan tüy testi çalışmaları
beyaz kutu testlerinin ortasında bir yerdedir. Gri da son zamanların ilgi odağı haline gelen çarpıcı
kutu testlerde yaygın olarak kullanılan yöntem kod konulardandır. Ayrıca, davranışları eğitim verileriy-
60 61