{"id":10311,"date":"2021-11-29T11:45:54","date_gmt":"2021-11-29T08:45:54","guid":{"rendered":"https:\/\/www.kaspersky.com.tr\/blog\/?p=10311"},"modified":"2021-11-29T11:45:54","modified_gmt":"2021-11-29T08:45:54","slug":"trojan-source","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.tr\/blog\/trojan-source\/10311\/","title":{"rendered":"Kaynak koduna yerle\u015ftirilmi\u015f g\u00f6r\u00fcnmeyen kodlar"},"content":{"rendered":"

Cambridge \u00dcniversitesi\u2019nden uzmanlar, \u00e7o\u011fu modern derleyiciyi etkiledi\u011fini ifade ettikleri bir g\u00fcvenlik a\u00e7\u0131\u011f\u0131 oldu\u011funu a\u00e7\u0131klad\u0131lar<\/a>. Bu yeni bir sald\u0131r\u0131 y\u00f6ntemi, geli\u015ftirme ara\u00e7lar\u0131ndaki ge\u00e7erli bir \u00f6zelli\u011fi kullanarak farkl\u0131 bir kaynak kodu g\u00f6stermesine ra\u011fmen tamamen ba\u015fka bir \u015fey derliyor. Bu, Unicode denetim karakterlerindeki \u00f6zellik sayesinde ger\u00e7ekle\u015fiyor.<\/p>\n

\"\"

Sald\u0131r\u0131lar\u0131n yeniden s\u0131ralanmas\u0131yla ilgili karakterleri bi\u00e7imlendiren Unicode y\u00f6nl\u00fcl\u00fc\u011f\u00fc. Kaynak<\/a>.<\/p><\/div>\n

\u00a0<\/p>\n

Baz\u0131 edit\u00f6rler bunlar\u0131 g\u00f6sterse de \u00e7o\u011fu zaman denetim karakterleri, kodun geri kalan\u0131yla birlikte ekranda g\u00f6r\u00fcnmez ancak bir \u015fekilde metni de\u011fi\u015ftirirler. \u00d6rne\u011fin bu tabloda<\/a>, \u00c7ift Y\u00f6nl\u00fc Unicode (bidirectional \u2014 bidi) Algoritmas\u0131n\u0131n kodlar\u0131 yer al\u0131yor.<\/p>\n

B\u00fcy\u00fck olas\u0131l\u0131kla biliyorsunuzdur, baz\u0131 diller soldan sa\u011fa (\u00f6rne\u011fin \u0130ngilizce), baz\u0131lar\u0131 da sa\u011fdan sola (\u00f6rne\u011fin Arap\u00e7a) yaz\u0131l\u0131r. Kod yaln\u0131zca bir dil i\u00e7erdi\u011finde herhangi bir sorun yoktur, ancak \u00f6rne\u011fin bir sat\u0131rda \u0130ngilizce ve Arap\u00e7a s\u00f6zc\u00fckler olmas\u0131 gibi gereken hallerde bidi kodlar\u0131 metnin y\u00f6n\u00fcn\u00fc belirler.<\/p>\n

Yazarlar \u00e7al\u0131\u015fmalar\u0131nda, Python kodundaki yorum bitiriciyi sat\u0131r\u0131n ortas\u0131ndan sonuna ta\u015f\u0131yanlar gibi kodlar\u0131 kulland\u0131lar. Yaln\u0131zca birka\u00e7 karakteri kayd\u0131rmak i\u00e7in RLI kodu uygulad\u0131lar ve kalan\u0131 de\u011fi\u015ftirilmemi\u015f \u015fekilde b\u0131rakt\u0131lar.<\/p>\n

\"\"

Bidi kodlar\u0131n\u0131 kullanan Python kodu g\u00fcvenlik a\u00e7\u0131\u011f\u0131 \u00f6rne\u011fi. Kaynak<\/a>.<\/p><\/div>\n

\u00a0<\/p>\n

Sa\u011fda, programc\u0131lar\u0131n kaynak kodunu kontrol ederken g\u00f6rd\u00fckleri; soldaysa, kodun y\u00fcr\u00fct\u00fcld\u00fc\u011f\u00fc hali yer al\u0131yor. \u00c7o\u011fu derleyici denetim karakterlerini yok sayar. Kodu kontrol eden herkes be\u015finci sat\u0131rda yer alan kodun zarars\u0131z bir yorum oldu\u011funu d\u00fc\u015f\u00fcn\u00fcr, ancak ger\u00e7ekte kodun i\u00e7ine gizlenen bir erken d\u00f6n\u00fc\u015f (early-return) komutu, program\u0131n banka hesab\u0131 bakiyesini bor\u00e7land\u0131ran i\u015flemi atlamas\u0131n\u0131 sa\u011flar. Di\u011fer bir deyi\u015fle bu \u00f6rnekteki sim\u00fcle edilen bankac\u0131l\u0131k program\u0131, paray\u0131 verecek ancak hesap bakiyesinden d\u00fc\u015fmeyecektir.<\/p>\n

G\u00fcvenlik a\u00e7\u0131\u011f\u0131 neden tehlikeli?<\/h2>\n

\u0130lk bak\u0131\u015fta, g\u00fcvenlik a\u00e7\u0131\u011f\u0131 \u00e7ok basit gibi g\u00f6r\u00fcn\u00fcyor. Sonu\u00e7ta kim kaynak kodunu denetleyen ki\u015fileri kand\u0131rmak i\u00e7in g\u00f6r\u00fcnmez karakterler ekler ki? Buna kar\u015f\u0131n sorunun, bir g\u00fcvenlik a\u00e7\u0131\u011f\u0131 tan\u0131mlay\u0131c\u0131s\u0131 (CVE-2021-42574<\/a>) kullanmak zorunda kalacak kadar ciddi oldu\u011fu d\u00fc\u015f\u00fcn\u00fcld\u00fc. Yazarlar, geli\u015ftiricilere en \u00e7ok kullan\u0131lan derleyicileri bildirerek, bu derleyiciler i\u00e7in makale yay\u0131nlanmadan \u00f6nce yama \u00e7\u0131karma f\u0131rsat\u0131 sundular.<\/p>\n

Raporda, genel hatlar\u0131yla temel sald\u0131r\u0131 yetenekleri anlat\u0131l\u0131yor. Yorumlar\u0131n i\u00e7ine bir komut gizlemek ve \u00f6rne\u011fin ekranda g\u00f6r\u00fcnen bir sat\u0131rdaki herhangi bir \u015feyi gizlemek i\u00e7in iki y\u00fcr\u00fctme stratejisi kullan\u0131l\u0131yor. Teoride, komuta benzeyen ancak asl\u0131nda bir yorumun par\u00e7as\u0131 olan ve y\u00fcr\u00fct\u00fclmeyecek bir kod olu\u015fturmak gibi tam tersi bir durum da s\u00f6z konusu olabilir. Bu g\u00fcvenlik a\u00e7\u0131\u011f\u0131ndan yararlanma konusunda elbette \u00e7ok daha yarat\u0131c\u0131 y\u00f6ntemlerin kullan\u0131lmas\u0131 s\u00f6z konusu.<\/p>\n

\u00d6rne\u011fin birisi bu y\u00f6ntem ile karma\u015f\u0131k bir tedarik zinciri sald\u0131r\u0131s\u0131 ger\u00e7ekle\u015ftirmek i\u00e7in y\u00fcklenici taraf\u0131ndan \u015firkete sunulan ve do\u011fru gibi g\u00f6r\u00fcnen ancak istendi\u011fi \u015fekilde \u00e7al\u0131\u015fmayan bir kod kullanabilir. Ard\u0131ndan \u00fcr\u00fcn piyasaya s\u00fcr\u00fcld\u00fckten sonra ba\u015fka bir taraf, m\u00fc\u015fterilere sald\u0131rmak i\u00e7in bu \u201calternatif fonksiyonu\u201d kullanabilir.<\/p>\n

Peki g\u00fcvenlik a\u00e7\u0131\u011f\u0131 ger\u00e7ekte ne kadar tehlikeli?<\/h2>\n

Makale yay\u0131nland\u0131ktan k\u0131sa bir s\u00fcre sonra programc\u0131 Russ Cox Truva Kayna\u011f\u0131 sald\u0131r\u0131s\u0131 konusundaki ele\u015ftirilerini ifade etti. En hafif tabirle, bu y\u00f6ntem onu \u00e7ok etkilememi\u015fti. Bununla ilgili \u00f6ne s\u00fcrd\u00fc\u011f\u00fc arg\u00fcmanlar ise \u015fu \u015fekilde:<\/p>\n