Arabellek Aşımı Saldırırsı! (Buffer Overflow Attack)

Yazan: Alpin Karagözoğlu

Comodo Memory Firewall Logo (c) Comodo

1-
Bir bilgisayarda işlem yaptığınızda bilgisayar söz konusu işlemi kimi zaman direkt olarak Sabit Disk’e (HDD) ya da ilgili depolama birimine yazmaz. Bunun yerine Bellek (RAM) üzerinde geçici olarak konumlandığı ve ileride topluca yazılacağı bir alanda tutar. Burası ara bir bellektir. İşte bu alana “buffer” ya da tampon yahut arabellek diyoruz.

Arabellek belirli bir alana yani boyuta sahiptir. Ancak bu alan bazen programsal hata (bug) sonucunda haddinden fazla bilgi ile yüklenir. Bazen de kötü niyetli bir saldırgan söz konusu yol ile bu alana haddinden fazla büyüklükte bilgi yükleyebilir. Bu haddinden fazla yükleme söz konusu alanda taşkına sebep olur.

İşleyişi;
Bir saldırgan bu sorunu kendi çıkarına kullanarak söz konusu alana alabileceğinden fazla uzunlukta bir değer yükler bunun sonucunda artan kısım yani taşan kısım direk olarak çalıştırılabilinir hale gelir. Bu taşan kısıma saldırgan çalıştırabilinir bir kod yüklediğinde amacına erişmiş ve Arabellek Aşımını kullanıp içeride (uzaktaki bir pc de ya da sunucuda) kötü niyetli bir kod çalıştırmış olur.

Teknik Bilgi Bu bölümü atlayıp korunma yöntemi için 3. Bölüme geçebilirsiniz…


Örnek bir Bellek Aşımı için c kodu;

KOD; (Arabellek aşımı saldırısına örnek kod;)

#void fonksiyon(char *str)
#{
#        char foo[16];
#
#        strcpy(foo, str);
#}
#
#void main()
#{
#        char buyuk_array[256];
#
#        memset(buyuk_array, 'A', 255);
#        fonksiyon(buyuk_array);
#}

Yukarida yaptigimiz sey, normalde 16 byte alabilecek bir array’a 255 byte
saklamaya calismak. main() icinde 255 bytelik bir array’i fonksiyon()’ a
parametre olarak gonderdik, fonksiyon icinde ise array’lerin sinirlarini
kontrol etmeden, strcpy() ile uzun array’in tamamini foo[] dolup tasana
kadar kopyaladik.”

KAYNAK ve devamı için: http://www.enderunix.org/docs/bof.txt


3-
Peki bu tip bir saldırıdan korunmak için yapabileceğimiz şeyler neler?

Yazılarım da , özellikle son kullanıcıya yönelik bilgiler vermekteyim. Korunma yollarında yine bu kolaylıkla gideceğim;

Comodo firması başta güvenlik duvarları, anti-malware, anti-spam, güvenlik sertifikaları olmak üzere bir çok bilişim sistemleri güvenliği alanında ücretli ve ücretsiz ürünler geliştirip, üretip, satıyor.

Bu tip saldırıları önlemek için Memory Firewall’ ı Comodo firmasının internet sitesinden ücretisiz olarak indirebilir ve yine ücretsiz olarak kullanabilirsiniz. Program sizden ayar istemeyecektir. Kendi halinde sistem tepsisinde yerini alacak ve sessiz sedasız görevini yapacaktır.

Comodo Memory Firewall için: http://www.memoryfirewall.comodo.com/
Diğer ücretsiz Comodo ürünleri için: http://www.comodo.com/products/free_products.html

NOT: Ayrıca Comodo Firewall-Güvenlik duvarı şuanda programsal güvenlik duvarları arasında, testlerde uzun süredir birinci sırada ve öylede kalmaya kararlı…

Kaynaklar;
http://www.enderunix.org/docs/bof.txt
http://en.wikipedia.org/wiki/Buffer_overflow
http://www.mcafee.com/us/local_content/white_papers/wp_ricochetbriefbuffer.pdf

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir