Security Engineering

Anotações:

• - ISO/IEC/IEE 42010 System & Software Engineering - Architecture Description Standardın amaçlarından birtanesi de ortak bir dil ve yaklaşım oluşturmaktadır.
• - baked in: güvenlik gereksinimlerinin analiz aşamasından itibaren dahil edilmesi - bolted on: güvenlik gereksinimlerinin geliştirme aşamasında dahil edilmesi

1. Architecture

   Anotações:

   • Büyük ve karmaşık bir entity'nin yapısını (Structure) ve davranışlarını(behavior) anlamayı sağlar. - Stakeholder'lara kendi anlayabilecekleri dilde sistem tanımları sunar. (Different views) - Komponentlerin birbirleri, sistem ve çevre ile ilişkisini anlamatı sağlar. - Büyük resmi gösterir. - Sonraki adımlar için referans noktası olur. Diğer adımlar mimariyi referans alarak ilerler.
   • Teorik olarak güvenlik mimari seviyeden başlar sonrasında mimariyi referans alan pratik uygulamalar ile devam eder.
2. Development

   Anotações:

   • CISSP içerisinde yalnızca geliştirme eforunu değil bir sistemin bütün yaşam döngüsünü temsil eder. (Bakım ve emekli etme dahil).  İçerisinde subset olarak fazlar tanımlanmıştır.
3. System

   Anotações:

   • Sistem çok geniş anlamda kullanılabilmektedir. Bu nedenle bir PC'den mi yoksa temel uygulamamı kastediliyor kapsam netleştirilmelidir.
4. Architecture Description

   Anotações:

   • Mimarinin formal olarak tanımlanması için oluşturulan doküman koleksiyonu
   • Bir ev tasarımında mimarinin formal olarak dokümante edilmesi bu aşamadır. Stakeholder'lar bu dokümantasyonlara onay verdikten sonra  design fazı başlayabilir.
5. Stakeholder

   Anotações:

   • Sistemin paydaşları
6. View

   Anotações:

   • Sistemlerin farklı concern'lere göre hazırlanmış temsilleridir. (Architecture Views olarakta geçer) 
   • Stakeholder'ların concernleri arc. view'lar ile açıklanır. Bu view'lar ile requirementların karşılandığı gösterilir.
7. View Point

   Anotações:

   • View oluşturmak ve kullanmak için belirlenen spesifikasyonlar. Taslak, şablon vb.

Anotações:

• PC'nin bütün parçaları bu kavrama dahildir.

1. CPU - Central Processing Units

   Anotações:

   • - PC'nin beynidir. Dışarıdan gelen instructionları alır ve işler. Aynı zamanda kendi içerisinde de instruction seti vardır.  - PC'lerin düzgün çalışabilmesi için OS'ler CPU'nun dilinden konuşmayı bilmelidir.
   1. ALU - Aritmatik Logic Unit

      Anotações:

      • - veri üzerinde matematiksel ve mantıksal işlemler yapan elemandır.
   2. Control Unit

      Anotações:

      • İşlemci ve requestler arasında trafik polisi görevi görür. Instruction'ların sırasunu belirler.
   3. Address Bus

      Anotações:

      • - RAM ve I/O cihazlara hardwired olarak bağlı bir komponenttir.(Connection). - CPU address bus'a bağlıdır. CPU'nun her hangi bir veriye ihtiyacı olduğunda bu talebini fetch request olarak address bus'a iletir
   4. Data Bus

      Anotações:

      • - Locate edilen veri CPU'nun erişmesi ve okuması için data bus'a koyulur. -CPU RAM ve I/O ile ilgilenmez ihtiyacın olan verilere adress bus ve data bus ile ulaşır.
   5. Register

      Anotações:

      • - Temp storage location for CPU
      1. General Registers

         Anotações:

         • ALU'nun müsvette kağıdıdır. Temp sonuçlar bu alana yazılır ve bu alan üzerinde çalışılır.
      2. Program Counter Register

         Anotações:

         • - Fetch edilecek bir sonraki instrustionın memory adresini tutar.  - Güncel talimat işlendikten sonra bir sonraki talimatı getirir.
      3. PSW - Program Status Word

         Anotações:

         • Instruction requestler güvenilir mi yoksa değil mi bunu söyler -user mode -privilege mode
2. Multiprocessing

   Anotações:

   • Bu mode'ların kullanılabilmesi için OS desteği gerekir
   1. Symmetrics Mode

      Anotações:

      • Aynı  anda birden fazla çekirdek kullanılır
   2. Asymmetrics Mode

      Anotações:

      • Bir çekirdeğe deike işlem atanır ve o çekirdeğe farklı bir görev verilmez
3. RAM - Random Access Memory

   Anotações:

   • -OS ve uygulamalar için temp read/write alanıdır. Volatile bir memorydir. Enerji gittiği zaman içerisindeki bilgi gider.
   1. Dynamic RAM - DRAM

      Anotações:

      • - Volatile elektrik akımı RAM üzerinde bulunan veri corrupt olmasında diye sürekli olarak kendi üzerinde yeniden yazar. Bu nedenle static RAM'e göre daha yavaştır. 
   2. Statis RAM - SRAM

      Anotações:

      • -dynamic RAM'den farklı bir mantık ile çalışır sürekli r/w yapmaz bu nedenle daha hızlıdır. Ancak bilgiyi saklamak için daha fazla alana ihtiyaç duyar ve pahalıdır. Aynı zamanda bütün vendorlar ile uyumlu bir teknoloji değildir.
   3. Trashing

      Anotações:

      • - PC datayı bir yerden başka bir yere taşırken processingden uzun zaman harcarsa ortaya çıkan durum trashing olarak adlandırılır.
   4. Other Types of RAMS
      1. Synchronous DRAM

         Anotações:

         • CPu sinyal input ve outputları ile sync olur bu sayede hızlı çalışır
      2. Extended Data Out DRAM - EDO DRAM

         Anotações:

         • DRAM'den daha hızlıdır. T anında mutliple block erişimi vardır.
      3. Busrt Edo DRAM - BEDO BDRAM

         Anotações:

         • EDO DRAM gibi çalışır ancak daha yüksek kapasiye sahiptir. 8Busrt)
      4. Double Data Rate SD DRAM - DDR SDRAM

         Anotações:

         • Clock Time'da T anında 1 operasyon yerine 2 operasyon gerçekleştirir.
   5. Hardware Segmentation

      Anotações:

      • -RAM üzerinde hafıza alanını direk fiziksel olarak segmente edereke güvenlik sağlanması yöntemine verilen isim.
4. ROM - Read-Only Memory

   Anotações:

   • Non-volatile tipte bir memory'dir elektrik gitse bile veri kalır. yazılan veri bir daha değiştirilemez.
   1. Programmable ROM

      Anotações:

      • Üzerinde yalnızca bir kere yazılabilir
   2. Erasable Programmable ROM

      Anotações:

      • Elektriksel olarak üzerine yazılabilir ve UV ışınları ile silinebilir ancak silindiği zaman üzerinde bulunan bütün bilgiler gider.
   3. Electrically Erasable Programmable ROM

      Anotações:

      • 1 bit at a time silinebilir ancak bu işlem yavaş gerçekleşir
   4. Flash Memory

      Anotações:

      • Dijital Kamera, BIOS, hafıza kartı vb. yapılarda kullanılan özel bir hafıza tipidir. Solid State çalışır
5. Cache Memory

   Anotações:

   • Hızlı bir Memory tipidir. kendi içerisinde hızlarına göre gruplandırılabilir. L1 > L2 >L3
6. Memory Mapping

   Anotações:

   • -Uygulamalar memory'de bulunan bilgiler memory mapper "ACL" aracılığı ile erişir. Hafızaya direk erişim güvenilir kaynak olan CPU tarafından gerçekleştirilebilir. -OS'ler uygulamaların memory erişimlerini index table ve pointer(logical address) üzerinden yapmasına izin verir. -Uygulamalar yalnızca kendi hafıza alanlarına direk olarak erişebilir bu sayede güvenli bir yapı ortaya çıkmış olur.
   1. Absolute address

      Anotações:

      • CPU Memory erişim adresi, direk fiziksel adres
   2. Logical/Relative address

      Anotações:

      • -Yazılımlar tarafından indexlenen memory adresleri -offset value uygulanmış adres (Logical=Relative)
      • Uygulamalar talimatları kendi logical adres schemalarına göre mapler (0-5000). Bu bilgiler memoryde fiziksel olarak farklı bir schema ile tutulutrsa Örn, 0 yerine 3400'den başlayan --> Uygulama ve fiziksel schema arasında bir mapping ihtiyacı doğar. - Logical: 100 - Physical: 3500 - Off Set Value: 3400
7. Buffer Overflow

   Anotações:

   • Bir process için kapasiteden fazla talep kabul edildiği zaman bu sorun ortaya çıkar -Buffer allocated segment of memory
   • -Yazılımcı buffer boyutunu düzgün ayarlamazsa  buffer'a fazla yüklenen veri STACK içerisinde bufferlarda bulunan data ve instructionlar overwrite eder. (Kullanılacak data ve instructionlar buffer içerisinde saklanır) -Buffer'a gönderilen veri miktarı kontrol edilmelidir. -OS'in 32-bit veya 64-bit olması stack boyutunu değiştirir. -Buffer Overflow'u engellemek için uygulama alınan veriye bound checking uygulamalıdır. C'de bulunan 'strcpy' komutu bound checking yapmadan kopyalama yapar ve bu soruna neden olur
   • -İşlemci setleri üzerinde farklı komutlar çalıştığı için Intel'de çalışan buffer overflow saldırısı AMD üzerinde çalışmayabilir.
   • -Bir saldırganın buffer overflow saldırısı gerçekleştirebilmesi için  1-Buffer size 2-Stack address bilgilerine sahip olması gerekmektedir. + payload boyutunun küçük olması gerekmektedir.
   1. Buffer

      Anotações:

      • Stack içerisinde bulunan allocated segment of memory
   2. Stack

      Anotações:

      • Uygulama ve process arasında iletişimi sağlayan memory segment. 32-bit 64-bit yapılara göre boyutu değişir.
   3. Return Pointer

      Anotações:

      • Stack içerisine ilk olarak koyulan bilgidir. İşlemin sonunucunun nereye gönderileceği bilgisini tutar. FILO yapısı oldupundan stack içerisinden en son RP çıkar
8. Memory Protection Techniques
   1. ASLR - Address Space Layout Randomization

      Anotações:

      • -İlk olarak windows vistalarda uygulanan koruma yöntemi --> memory address sürekli olarak güncellenir.
   2. DEP - Data Execution Prevention

      Anotações:

      • -Bir çok OS güncel olarak bu yapıyı kullanır. Kod güvenilmeyen hafıza segmenti üzerinde çalışamaz ve saldırı engellenir.
9. Memory Leaks

   Anotações:

   • Kötü yazılan kodlar nedeniyle uygulamalar cihaz hafızasını tüketirler. Uygulamaların işleri bittikten sonra kaynağı bırakmaması nedeniyle aslında bir çeşit DoS ortaya çıkar bu durum memory leak olarak adlandırılır.

1. Process Management
   1. Multiprogramming

      Anotações:

      • -Birden fazla programın aynı anda çalışabilmesidir. Aslında çalışan farklı processlerdir ancak program olarak adlandırılmıştır.
   2. Multitasking

      Anotações:

      • -Processlerin yanı sıra gelen iletilen requestlerin eş zamanlı olarak işlenebilmesidir.  -Multiprogramming'in gelişmiş versiyonudur.
      • -Tost yaparken ev işlerinin yapılması örneği.
      1. Cooperative Multitasking

         Anotações:

         • -Eski teknoloji, resource yazılımı tarafından serbest bırakılır. 
      2. Preemptive Multitasking

         Anotações:

         • -Resource OS tarafından yönetilir.  Java Garbage Collector.
   3. Process

      Anotações:

      • -En temel olarak aktif koşan instruction set ve bu instructionlara atanan kaynaklar Process olarak adlandırılır. -Bu tanımın dışında bireysel olarak çalışan uygulamalar da process adlandırılmaktadır.
      1. States of a Process
         1. Running State

            Anotações:

            • -Data ve instructionların CPU tarafından aktif olarak işlendiği durum
         2. Ready State

            Anotações:

            • -CPU'ya bilgi göndermeye hazır durum
         3. Blocked State

            Anotações:

            • -Process'in input bekleme durumudur. Klavye'den veya grep'teki gibi bir önceki processing bitmesini beklmesi gibi.
      2. Proess Table

         Anotações:

         • -OS process ve ilgili bilgileri (stake pointer, memory location vb.) her zaman bir tablo üzerinde tutar ihtiyacı olduğu durumda direk olarak burdan alır.
      3. Interrupts

         Anotações:

         • Processlerin CPU ile konuşma önceliklerini belirler
         1. Maskable Interrupts

            Anotações:

            • -İhmal edilebilir taleplerdir. Standart talepler
         2. non-Maskable Interrupts

            Anotações:

            • -Geldiği zaman direk olarak önceliği alan ve ertlenemeyen interruplardır. -PC memory hatası alırsa ve bunu çözemezse restart talimatı gönderir ve bu beklenmeden işlenir.
   4. Spawning

      Anotações:

      • -Unix ve Linux'lerde OS tarafından child processing ortaya çıkarmanın adı. cat file1 file2 | grep stuff --> Bu komut çalıştığında 2 process spawn edilir.
   5. Memory Stacks

      Anotações:

      • -Her bir process kendi stack'ine sahiptir. Stack'ler LIFO olarak çalışır en altta Return Pointer bulunur. -Sonrasında sırasıyla Intruction ve data gelir ve bu şekilde sıra ile devam eder. - CPU stack içerisinde hangi pozisyonda kaldığını Stack Pointer ile takip eder. CPU talimat ve datayı işledikten sonra bir sonraki ile bu şekilde devam eder.
   6. Thread Management

      Anotações:

      • -CPU processleri kolayca yönetebilmek için bir entity altında toplar. Sonrasında CPU'ya bir işlem için talimat göndereceği zaman thread üretir CPU'ya talimatları bu şekilde gönderir. - Thread individual instruction set ve data'lardan oluşur.
      1. Multi-threaded

         Anotações:

         • -Uygulamalar birden fazla fonksiyonu yerine getirmek amacıyla tasarlarnır. Örndeğin dosyayo kaydet, yazıcıya gönder vb. bu işlemlerin herbiri CPU tarafında farklı thread'ler üzerinden işlenmektedir.
      2. Process Security

         Anotações:

         • -Processler CPU'ya yüklenmeden önce güvenlik kontrolleri gerçekleşir ve sonrasında işlenir. Saldırgan bu aşamada proess içerisine farklı bir talimat yüklerse (ve privilege modda ise ) bu talimat işlenir ve sisteme zarar verilebilir.  Bu nedenle processler yalnızca approved entity'lerden talimat kabul etmelidir. Bu sayede saldırının önüne geçilmiş olur.
   7. Process Scheduling

      Anotações:

      • -Scheduling Policy: Thread'lerin birbirleri ile nasıl iletişime geçeceğini yönetmek amacıyla oluşturlmuştur. OS gereken durumuna göre processleri yaratır ve kill eder. - Bu sistem düzgün olarak çalışmazsa saldırgan bazı processlerin hiç bir zaman işlenmemesini sağlayarak bir çeşit DoS'a neden olabilir. 
      • -Bir process kaynapa ihtiyaç duyduğu zaman OS bir data structure oluşturur ve sonrasında bu kaynağı process'e dedike eder. Bu işlem düzgün gerçekleşmezse sistem kaynak sıkıntısı yaşar (Memory kısıtı yaşamak gibi) Bu bir DoS tipidir.
      1. Software Deadlock

         Anotações:

         • App1: A kaynağına sahip ve işlemi tamamlaması için B kaynağına ihtiyaç duyuyor. App2: B kaynağına sahip ve işlemi tamamlamak için A kaynağına ihtiyaç duyuyor. Bu durumda Software Deadlock ortaya çıkar ve her 2 process te işlemini tamamlayamayaz. OS akıllı algoritmalar ile bu sorunu çözer - OS'ler bu durumu çözmek için farklı yöntemler izler. Örneğin, kaynak uzun süre dedile kalırsa process kill eder ve kaynağı havuza geri gönderir.
   8. Process Activity

      Anotações:

      • -Aynı dosya ve kaynak, aynı anda birden fazla process'in kullanımına verilmiş olabilir ancak burada aynı anda read-write işlemleri yapamazlar bu bir kuraldır. 
      1. Process Isolation

         Anotações:

         • -Process'lerin birbirine müdahale etmemesi amacıyla geliştirilen bir mekanizmadır.  -Bu mekanizma sayesind eğer bir process fail ederse. bu durum diğerlerini etkilemez. -
         • Preemptive mutitasking için process isolation olması şarttır.
         1. Encapsulation of Object

            Anotações:

            • -Encapsulated olan process'in içerisinde yapılan işlemler başka hiç kimse tarafından anlaşılamaz ve müdahale edilemez. -İletişim interface'ler arasından gerçekleşir.
            • Encapsulation --> Data Hiding sağlar
         2. Time multiplexing

            Anotações:

            • CPU'nun kaynaklarını farklı processler için ayırması durumudur. Tek bir kaynak var ancak herkes sırayla kullanıyor.  -Baz istasyonlarında telefonla konuşurkende benzer bir mekanizma kullanılır.
         3. Naming Distinctions

            Anotações:

            • -Her process kendisine özel bir isme veya ID'ye sahiptir. (PID) -BU isolation'ın farklı bir türüdür
         4. Virtual Address Memory Mapping

            Anotações:

            • -OS'in virtual memory adreslerine karşılık fiziksel memory atamasında bir process tarafıdan kullanılan hafızayı başka bir process'e vermesinin engellenmes
2. Memory Management

   Anotações:

   • OS tarafından yapılan memory management'ın 3 temel görevi 1- Yazılımcılar için abstraction level sağlaması 2- Kıstlı memory ile performans optimizasyon 3- Memory'ye yüklenen appleri ve OS'yi korumak.
   1. Abstraction

      Anotações:

      • Bir şeyin detayının gizli olmasıdır. Bu tanıma göre yazılımcı yazdığı kodun nasıl hafıza kullanması gerektiği ile ilgilenmez.
   2. Memory Manager

      Anotações:

      • -hafıza segmentlerinin alokasyonu -Process'lerin ACl enformcementlt'ı -RAM to HardDrive swap işlemlerini yapmaktan sorumludur.
      • Hafıza Kapasiteleri (yukarıdan aşağı yavaşlar) 1- CPU register 2- Cache 3- Main Memory 3.5 - Swap Space 4 - Disk Storage
   3. Memory Manager 5 Basic Responsibilities
      1. Relocation

         Anotações:

         • -RAM TO HardDrive Swap - İnstrucionlar ve memory segmen hafıza'da farklı bir yere taşındıysa uygulamalra için pointer sağlamak
      2. Protection

         Anotações:

         • -Process'leri yalnızca ilgili memory segmentleri ile iletişim kurmaya zorlamak -Memory Segment'ler için ACL sağlamak
      3. Sharing

         Anotações:

         • -Birden fazla processs aynı hafıza segmentini kullanacaksa komplex mekanizmalar ile gizliliği ve bütünlüğü korur - Tek bir memory segment üzerinde çalışan uygulamaya birden fazla kullanıcının farklı erişim hakları ile erişmesini sağlar.
      4. Logical Organization

         Anotações:

         • - Bütün memory tiplerini segmente eder ve abstract seviyede her birisi için adres schema sağlar. -Spesifik yazılım modüllerinin paylaşılmasını sağlar (Örn; DLL Prosedür)
         1. DLL

            Anotações:

            • -Dynamic Link Library (DLL) uygulamaların farklı işlemleri yaptırmak için çağırabildikleri kütüphaneler. Örneğin; crypt32.dll şifreleme için kullanılır
      5. Physical Organization

         Anotações:

         • -Fiziksel hafıza alanını uygulama ve işletim sistemi için ayrırır