Ayrıntılı bilgi ve özet için teşekkürler. Başta bunun Linux’taki Capabilities’e benzer bir şey olduğunu düşünmüştüm, ama anlaşılan dinamik analizi de içeren bir yaklaşımmış.
Bunu Gemini’ye açıklatmayı denedim. Ben de özel olarak güvenlik tarafında olmadığım için pek bilmiyorum.
[Derinlemesine rapor: PyPI ve OpenSSF’nin dikkat çektiği yeni nesil güvenlik teknolojisi “Capability Analysis”]
Son dönemde açık kaynak ekosistemini tehdit eden tedarik zinciri saldırıları daha da sofistike hale gelirken, PyPI (Python Package Index) ve OpenSSF (Open Source Security Foundation), mevcut desen eşleştirme yaklaşımının ötesine geçen “Capability Analysis”ın devreye alınmasını hızlandırıyor.
Bu teknolojinin özü, paketin “ne gibi davrandığına” değil, “gerçekte neler yapabildiğine” bakmaktır.
Capability Analysis (yetenek analizi) nedir?
Geleneksel virüs taraması “arananlar listesi”ni (bilinen kötü amaçlı yazılım imzaları) karşılaştırıyorsa, Capability Analysis paketin “davranış yeteneklerini” doğrulayan bir yöntemdir.
Ne kadar normal bir yardımcı araç gibi gizlenmiş olursa olsun, sistemi ele geçirmek ya da bilgi çalmak için işletim sisteminin belirli kaynaklarını (ağ, dosya, süreç) mutlaka kullanması gerekir. Bu analiz tekniği, paket kod çalıştırırken aşağıdaki gibi “hassas yetkileri (Capabilities)” kullanıp kullanmadığını izler.
Ağ (Network): Kurulum betiği gizlice harici bir IP’ye veri sızdırmaya (Exfiltration) ya da iletişim kurmaya çalışıyor mu?
Dosya sistemi (FileSystem): SSH anahtarları, AWS kimlik bilgileri, /etc/passwd gibi hassas dosyalara erişmeye ya da bunları değiştirmeye çalışıyor mu?
Süreç çalıştırma (Execution): Shell komutları çalıştırıyor ya da dinamik olarak kod üretip (eval, exec) alt süreçler oluşturuyor mu?
Gerçek kullanım ve temel olduğu düşünülen güvenlik araçları
Şu anda OpenSSF projeleri ve güvenlik araştırma grupları, bu analizi gerçekleştirmek için aşağıdaki araçları geliştirip boru hatlarına uyguluyor.
A. OpenSSF Package Analysis (resmî proje)
- Genel bakış: OpenSSF’nin öncülük ettiği bu proje, PyPI veya NPM’e yüklenen paketleri izole edilmiş bir sandbox ortamında gerçekten kurup çalıştırıyor.
- Çalışma mantığı: Paket çalışırken oluşan sistem çağrılarını (System Calls) çekirdek seviyesinde yakalayarak, “bu paket kurulum sırasında 192.168.x.x adresine bağlanmayı denedi” gibi davranış verilerini topluyor.
- Teknoloji yığını: gVisor (sandbox), Strace (sistem çağrısı izleme) gibi araçlardan yararlanıyor.
B. Packj
- Genel bakış: Akademik araştırmalara (Georgia Tech vb.) dayanılarak geliştirilen bu araç, paketin “riskli yeteneklerini (Risky Capabilities)” etiketlemeye odaklanıyor.
- Çalışma mantığı: Statik analiz ile dinamik analizi birlikte kullanıyor. Kaynak kod içinde hassas API çağrılarını tespit ediyor ve paket meta verisini analiz ederek bunun “terk edilmiş bir paket” mi, “typosquatting (isim taklidi)” mi olduğunu belirliyor.
- Özellik: “Bu paket bir ses kütüphanesi ama ağ iletişimi ve adres defterine erişim işlevleri var” gibi anormal yetki kombinasyonlarını algılıyor.
C. GuardDog
- Genel bakış: Datadog tarafından açıklanan bir CLI aracı; Semgrep (statik analiz motoru) kullanarak kötü amaçlı örüntüleri buluyor.
- Çalışma mantığı: Paket içinde gizlenmiş obfuscation kodları, madenci betikleri, çalıştırılabilir dosya indiricileri gibi “kötü amaçlı işlevlerin” uygulanmış olduğu kod örüntülerini (Heuristics) tespit ediyor.
D. Falco & Sysdig
- Genel bakış: Bulut yerel ortamlara yönelik çalışma zamanı güvenlik araçlarıdır.
- Rol: Paketin container içinde çalışması sırasında ortaya çıkan anormal davranışları (ör. beklenmeyen shell erişimi, hassas dosya okuma) gerçek zamanlı tespit eden bir motor olarak kullanılır.
İlgili başvuru materyalleri ve bağlantılar
Bu teknolojiyi daha derinlemesine anlamak için orijinal proje ve blog yazılarına bakabilirsiniz.
Sanırım paketi indirip kodu çalıştırarak, açarak ya da statik analiz ve dinamik analiz gibi yöntemlerle kodun ne yaptığını inceliyorlar. Kötü amaçlı yazılımlar genelde bu şekilde yayılıyor.
"Bazen yazılım geliştirmeyi seçmenin yanlış bir karar olup olmadığını düşünüyorum
Senior olsan bile hâlâ sürekli öğrenmen ve yan projeler yapman bekleniyor
Ne zaman hobiye ya da sosyal hayata vakit ayırabileceğimi bilmiyorum"
İnatçı güvensizlik kadar mutlak körü körüne inancın da yanlış olduğunu düşünüyorum.
Önemli olan artılarını ve eksilerini dengeli biçimde değerlendirip kullanmak; ama durmadan bir FOMO atmosferi yaratmanın AI şirketlerinin pazarlama taktiği olduğunu düşünüyorum.
Çok iyi. Junior'dan senior'a kadar herkesin okuması gereken bir yazı.
Bence geçen yıldan gelecek yıla kadar olan dönem, yazılım mühendisliğindeki en büyük dönüşüm dönemi olacak.
Burada çağın akışını kaçırırsanız epey geride kalabilirsiniz.
> Uçak içi eğlence sistemlerinde de yapay zeka tabanlı oyun özelliklerinin yaygınlaştığını
Satranç motorlarının çalışma mantığını bilen biri olarak bunu fazla abarttıklarını düşünüp ne oluyor diye baktım ama....
Zaten orijinal videoda da özet kısmındaki gibi abartılı bir anlatım yok.
Delta Air Lines'ın EASY zorluk seviyesinin, biraz satranç oynamış kişilerin bile yenmekte zorlanacağı kadar iyi oynadığı için bunu iğneleyen bir video gibi görünüyor.
Ama anlam ve çıkarımlar kısmındaki görüşlerde neden bu kadar taraflı bir halüsinasyon ortaya çıktığını merak ediyorum.
> Yapay zeka teknolojisinin kitlesel yayılımının hava yolu hizmetleri alanına kadar genişlediğini gösteren bir örnek
Siri...
Ben bir veletim.
Ayrıntılı bilgi ve özet için teşekkürler. Başta bunun Linux’taki Capabilities’e benzer bir şey olduğunu düşünmüştüm, ama anlaşılan dinamik analizi de içeren bir yaklaşımmış.
Bekleniyorduu..
Bunu Gemini’ye açıklatmayı denedim. Ben de özel olarak güvenlik tarafında olmadığım için pek bilmiyorum.
[Derinlemesine rapor: PyPI ve OpenSSF’nin dikkat çektiği yeni nesil güvenlik teknolojisi “Capability Analysis”]
Son dönemde açık kaynak ekosistemini tehdit eden tedarik zinciri saldırıları daha da sofistike hale gelirken, PyPI (Python Package Index) ve OpenSSF (Open Source Security Foundation), mevcut desen eşleştirme yaklaşımının ötesine geçen “Capability Analysis”ın devreye alınmasını hızlandırıyor.
Bu teknolojinin özü, paketin “ne gibi davrandığına” değil, “gerçekte neler yapabildiğine” bakmaktır.
Geleneksel virüs taraması “arananlar listesi”ni (bilinen kötü amaçlı yazılım imzaları) karşılaştırıyorsa, Capability Analysis paketin “davranış yeteneklerini” doğrulayan bir yöntemdir.
Ne kadar normal bir yardımcı araç gibi gizlenmiş olursa olsun, sistemi ele geçirmek ya da bilgi çalmak için işletim sisteminin belirli kaynaklarını (ağ, dosya, süreç) mutlaka kullanması gerekir. Bu analiz tekniği, paket kod çalıştırırken aşağıdaki gibi “hassas yetkileri (Capabilities)” kullanıp kullanmadığını izler.
eval,exec) alt süreçler oluşturuyor mu?Şu anda OpenSSF projeleri ve güvenlik araştırma grupları, bu analizi gerçekleştirmek için aşağıdaki araçları geliştirip boru hatlarına uyguluyor.
A. OpenSSF Package Analysis (resmî proje)
- Genel bakış: OpenSSF’nin öncülük ettiği bu proje, PyPI veya NPM’e yüklenen paketleri izole edilmiş bir sandbox ortamında gerçekten kurup çalıştırıyor.
- Çalışma mantığı: Paket çalışırken oluşan sistem çağrılarını (System Calls) çekirdek seviyesinde yakalayarak, “bu paket kurulum sırasında 192.168.x.x adresine bağlanmayı denedi” gibi davranış verilerini topluyor.
- Teknoloji yığını: gVisor (sandbox), Strace (sistem çağrısı izleme) gibi araçlardan yararlanıyor.
B. Packj
- Genel bakış: Akademik araştırmalara (Georgia Tech vb.) dayanılarak geliştirilen bu araç, paketin “riskli yeteneklerini (Risky Capabilities)” etiketlemeye odaklanıyor.
- Çalışma mantığı: Statik analiz ile dinamik analizi birlikte kullanıyor. Kaynak kod içinde hassas API çağrılarını tespit ediyor ve paket meta verisini analiz ederek bunun “terk edilmiş bir paket” mi, “typosquatting (isim taklidi)” mi olduğunu belirliyor.
- Özellik: “Bu paket bir ses kütüphanesi ama ağ iletişimi ve adres defterine erişim işlevleri var” gibi anormal yetki kombinasyonlarını algılıyor.
C. GuardDog
- Genel bakış: Datadog tarafından açıklanan bir CLI aracı; Semgrep (statik analiz motoru) kullanarak kötü amaçlı örüntüleri buluyor.
- Çalışma mantığı: Paket içinde gizlenmiş obfuscation kodları, madenci betikleri, çalıştırılabilir dosya indiricileri gibi “kötü amaçlı işlevlerin” uygulanmış olduğu kod örüntülerini (Heuristics) tespit ediyor.
D. Falco & Sysdig
- Genel bakış: Bulut yerel ortamlara yönelik çalışma zamanı güvenlik araçlarıdır.
- Rol: Paketin container içinde çalışması sırasında ortaya çıkan anormal davranışları (ör. beklenmeyen shell erişimi, hassas dosya okuma) gerçek zamanlı tespit eden bir motor olarak kullanılır.
Bu teknolojiyi daha derinlemesine anlamak için orijinal proje ve blog yazılarına bakabilirsiniz.
OpenSSF Package Analysis resmî blogu (duyuru ve çalışma mantığının açıklaması)
https://openssf.org/blog/2022/…
OpenSSF Package Analysis GitHub’ı (kaynak kod ve mimari)
https://github.com/ossf/package-analysis
Packj GitHub’ı (aracın indirilmesi ve ayrıntılı özellikler)
https://github.com/ossillate-inc/packj
GuardDog GitHub’ı (Datadog’un PyPI/NPM kötü amaçlı paket tespit aracı)
https://github.com/DataDog/guarddog
PyPI Security raporu (kötü amaçlı paket bildirim ve işleme süreci)
https://pypi.org/security/
Sanırım paketi indirip kodu çalıştırarak, açarak ya da statik analiz ve dinamik analiz gibi yöntemlerle kodun ne yaptığını inceliyorlar. Kötü amaçlı yazılımlar genelde bu şekilde yayılıyor.
Ben de bazen aynı şeyi düşünüyorum. Sonu yok.
"Bazen yazılım geliştirmeyi seçmenin yanlış bir karar olup olmadığını düşünüyorum
Senior olsan bile hâlâ sürekli öğrenmen ve yan projeler yapman bekleniyor
Ne zaman hobiye ya da sosyal hayata vakit ayırabileceğimi bilmiyorum"
skills ortak noktası..
Ben
starship'e geçtim.Tailscale’dan çok bahsediliyor. Aslında doğru dürüst bir alternatif de yok gibi..
İnatçı güvensizlik kadar mutlak körü körüne inancın da yanlış olduğunu düşünüyorum.
Önemli olan artılarını ve eksilerini dengeli biçimde değerlendirip kullanmak; ama durmadan bir FOMO atmosferi yaratmanın AI şirketlerinin pazarlama taktiği olduğunu düşünüyorum.
Şu anda yapay zekayı işinize yeterince entegre edemiyorsanız, FOMO hissetmeniz de gayet anlaşılır görünüyor.
Ah, bir
/işaretini atlamışım :'( Düzelttim.Çok iyi. Junior'dan senior'a kadar herkesin okuması gereken bir yazı.
Bence geçen yıldan gelecek yıla kadar olan dönem, yazılım mühendisliğindeki en büyük dönüşüm dönemi olacak.
Burada çağın akışını kaçırırsanız epey geride kalabilirsiniz.
Nedenini bilmediğim için epey endişeliydim ve eski sürümü indirip kullanıyordum; nedeni tespit etmiş olmaları sevindirici :)
https://github.com/kaniini/capsudo
> Uçak içi eğlence sistemlerinde de yapay zeka tabanlı oyun özelliklerinin yaygınlaştığını
Satranç motorlarının çalışma mantığını bilen biri olarak bunu fazla abarttıklarını düşünüp ne oluyor diye baktım ama....
Zaten orijinal videoda da özet kısmındaki gibi abartılı bir anlatım yok.
Delta Air Lines'ın EASY zorluk seviyesinin, biraz satranç oynamış kişilerin bile yenmekte zorlanacağı kadar iyi oynadığı için bunu iğneleyen bir video gibi görünüyor.
Ama anlam ve çıkarımlar kısmındaki görüşlerde neden bu kadar taraflı bir halüsinasyon ortaya çıktığını merak ediyorum.
> Yapay zeka teknolojisinin kitlesel yayılımının hava yolu hizmetleri alanına kadar genişlediğini gösteren bir örnek
"Yetenek analizi (capability analysis) tabanlı güvenlik aracı" tam olarak nedir?
Galaxy Book gibi cihazlarda Linux sürücüleri düzgün desteklenmediği için kullanımı zor oluyor... hüzün
Dünyanın dört bir yanından en iyi yeteneklerin toplandığı MS'te buna nasıl izin verildi acaba? Yoksa sadece boş ukalalar mı? İnsanlık geriliyor mu?
1 dakikalık tanıtım videosu - https://www.youtube.com/watch?v=UAmKyyZ-b9E