İçeriğe atla

Sıfır-gün

Sıfır-gün (0-gün veya sıfır-saat veya sıfır-gün açığı olarak da bilinir) genellikle bir yazılımda bir zayıflığın keşfedildiği gün, çok uzun zamandan beri o açıklığın blackhatler tarafından bulunup kullanıldığının ortaya çıkmış olmasıdır. Ayrıca zayıflık ortaya çıktıktan sonra geliştirici tarafından bir güncelleme sunulamadan önce faydalanılan bir zayıflıktır[1]

Sıfır-gün saldırıları genellikle güvenlik açıklarının genel kullanıma açıklandığı tarihten önce veya günümüzde bilgisayar korsanları tarafından denenir. Bazen de geliştiricinin açığın farkında olduğu veya düzeltilmiş halini hazırlamadan önce denenir.[2] Sıfır-gün saldırıları ciddi bir tehdittir.[3]

Saldırı yönü

Kötü amaçlı yazılım yazarları sıfır-gün açıkları için birkaç farklı saldırı yönünden yararlanabilir. Bazen kullanıcılar sahte internet sitelerini ziyaret ettiğinde, sitedeki kötü amaçlı kod internet tarayıcılarındaki güvenlik açıklarından yararlanabilir. İnternet tarayıcıları, yaygın dağıtım ve kullanımları nedeniyle suçlular için özel bir hedeftir. Siber suçlular, eki açan uygulamadaki zayıf noktaları sömüren kötü amaçlı e-posta eklerini SMTP yoluyla da gönderebilirler.[4] US-CERT gibi veritabanlarında giderek artan oranlarda göründükleri gibi, yaygın dosya türlerinden yararlanan saldırılar çok sayıda ve sık görülür. Suçlular, saldırıya uğramış sistemlerden gizli verileri çalmak için bu dosya türü istismarlardan yararlanarak kötü amaçlı yazılım üretebilirler.[5]

Güvenlik açığı penceresi

Bir yazılım kullanımının ilk kez aktif hale gelmesinden güvenlik açığı bulunan sistemlerin sayısının küçülmesine kadar geçen süre, Güvenlik Açığı Penceresi (WoV) olarak bilinir.[6] Her yazılım güvenlik açığı için zaman çizelgesi aşağıdaki ana olaylarla tanımlanır:

  • t0: Güvenlik açığı keşfedildi.
  • t1a: Bir güvenlik düzeltme eki yayınlanır (ör. Yazılım satıcısı tarafından).
  • t1b: Bir exploit aktif hale gelir.
  • t2: En savunmasız sistemler düzeltmeyi uygular.

Normal güvenlik açıkları için, t1b - t1a> 0'dır. Bu, yazılım satıcısının güvenlik açığının farkında olduğunu (zaman t ≥ t0) ve herhangi bir bilgisayar korsanının çalıştırılabilir bir uygulama (t1b) hazırlamadan önce bir güvenlik düzeltme paketi (t1a) yayımlama zamanı geldiğini ima eder. Sıfır gün açıkları için, bir yama hazır olmadan önce exploitin faal hale gelmesi için t1b - t1a ≤ 0 olması gerekir.

Bilinen güvenlik açıklarını açıklamayarak bir yazılım satıcısı, t1b'ye erişmeden önce t2'ye ulaşmayı umar, böylece herhangi bir istismarı önler. Bununla birlikte, satıcının, bilgisayar korsanlarının kendi başına güvenlik açıklarını bulamayacakları konusunda hiçbir garantisi yoktur. Ayrıca, güvenlik yamaları temel güvenlik açıklarını ortaya çıkarmak için analiz edilebilir ve otomatik olarak çalışma açıkları üretir,[7] böylece her zaman t0 <= t1a ve <= t1b olacaktır.

Uygulamada WoV boyutu; sistemler, satıcılar ve bireysel güvenlik açıkları arasında değişir. Genellikle gün olarak ölçülür ve 2006'dan bir rapora göre ortalama 28 günde tamamlanır.[8]

Koruma

Sıfır-gün koruması, sıfır gün kullanımlarına karşı koruma sağlama yeteneğidir. Sıfır-gün saldırıları genel olarak halk tarafından bilinmediğinden, onlara karşı savunma yapmak genellikle zordur. Sıfır gün saldırıları "güvenli" ağlara karşı genellikle etkindir ve başlatıldıktan sonra bile tespit edilmemiş kalabilir. Bu nedenle, güvenli sistemler denilen kullanıcılar da sağduyu kullanmalı ve güvenli bilgisayar kullanma alışkanlıklarını uygulamalıdır.[9]

Tampon taşmaları gibi sıfır-gün bellek bozulması güvenlik açıklarının etkinliğini sınırlayan birçok teknik bulunmaktadır. Bu koruma mekanizmaları, OS X, Windows Vista, Solaris, Linux, Unix ve Unix benzeri ortamlar gibi çağdaş işletim sistemlerinde bulunur; Windows XP Service Pack 2, jenerik bellek bozulması güvenlik açıklarına karşı sınırlı koruma içerir[10] ve önceki sürümler daha da az içerir. Masaüstü ve sunucu koruma yazılımı sıfır gün tampon taşması güvenlik açıklarını azaltmak için de mevcuttur. Tipik olarak bu teknolojiler, sezgisel sonlandırma analizini içerir; zarar vermeden önce onları durdurur.[11]

Bu tür bir çözümün imkânsız olduğu öne sürülmüştür çünkü genel durumda kötü amaçlı olup olmadığını belirlemek için herhangi bir kodu analiz etmek algoritmik olarak imkânsızdır, çünkü böyle bir analiz doğrusal sınırlı otomat üzerinden durma sorununa azaltılır, çözülemez. Bununla birlikte, genel olayı ele almak gereksizdir, çoğu durumda kötü niyetli davranışları ortadan kaldırmaya gerek yoktur. Hem güvenli hem de güvensiz bazı programları reddetmekle birlikte sınırlı bir program grubunun güvenliğini tanımak yeterlidir (ör. Belirli makine kaynaklarının alt kümesine erişebilir veya bunları değiştirebilir). Bu, çekirdek düzeyinde bir istismar karşısında zorluk çıkaracak şekilde korunan bu güvenli programların bütünlüğünü gerektirir. Symantec SONAR teknolojisi, bilinen iyi yazılım özelliklerini algılayan bir algoritma kullanarak zararlı yazılımları tespit etmeye çalışmaktadır. Algoritmanın kriterlerini karşılamayan yeni yüklenen herhangi bir program potansiyel kötü amaçlı yazılım olarak işaretlenir.[12]

Sıfırgün Acil Müdahale Ekibi (ZERT), sıfır gün kullanımları için ücretsiz düzeltme eklerini çıkarmaya çalışan bir grup yazılım mühendisiydi.

Solucanlar

Sıfır-gün solucanları, bilgisayar güvenliği uzmanları tarafından bilinmiyorken sürpriz bir saldırıdan faydalanırlar. Yakın geçmiş, solucan yayılımının oranının artmakta olduğunu gösteriyor. İyi tasarlanmış solucanlar birkaç dakika içinde (bazıları saniyeler içerisinde) İnternet'e ve diğer yollarla yıkıcı sonuçlar doğurabilir.

Ahlak

Sıfır-gün güvenlik açığı bilgilerinin toplanması ve kullanılması ile ilgili olarak farklı ideolojiler mevcuttur. Birçok bilgisayar güvenlik sağlayıcısı, açıkların doğasını ve bireylerin, bilgisayar solucanlarının ve virüslerin sömürünün daha iyi anlaşılabilmesi için sıfır gün güvenlik açıklarını araştırır. Alternatif olarak, bazı satıcılar araştırma kapasitelerini artırmak için güvenlik açıkları satın alırlar. Böyle bir programa bir örnek, TippingPoint'in Zero Day Initiative yazılımıdır. Bu güvenlik açıklarını satmak ve satın almak dünyanın birçok yerinde teknik açıdan yasadışı değildir, ancak açıklama yöntemiyle ilgili çok fazla tartışma vardır.

Resmi programların çoğu, Rain Forest Puppy'nin açıklama kurallarının bir kısmını ya da daha yeni OIS Güvenlik Açığı Raporlama ve Müdahale Yönergeleri'ni izler. Genel olarak bu kurallar güvenlik açığının satıcıya bildirimde bulunmaksızın kamuya açıklanmasını yasaklamaktadır. Ve açığa karşı bir düzeltme için satıcıya zaman sağlamaktadır.

Virüsler

Sıfır-gün virüsü (sıfır-gün zararlı yazılımı veya yeni-nesil zararlı yazılım olarak da bilinir), önceden bilinmeyen bir bilgisayar virüsüdür veya belirli antivirüs yazılımı imzalarının henüz bulunmadığı diğer kötü amaçlı yazılımlardır.[13]

Antivirüs yazılımı, geleneksel olarak, kötü amaçlı yazılımları tanımlamak için imzalara güvenir. Bu çok etkili olabilir, ancak numuneler önceden elde edilinceye, imzalar üretilip güncellemeler kullanıcılara dağıtılmadıkça kötü amaçlı yazılımlara karşı savunamazlar. Bu nedenle, imza tabanlı yaklaşımlar sıfır-gün virüslerine karşı etkili değildir.

Çoğu modern antivirüs yazılımı hala imzalar kullanır, ancak diğer analiz türlerini de uygularlar.

Kod analizi

Kod analizinde dosyanın makine kodu, şüpheli görünen bir şey olup olmadığını görmek için analiz edilir. Genellikle, kötü amaçlı yazılım karakteristik davranışa sahiptir ve kodda bulunup bulunmadığını saptamak için kod analizi denemeleri yapılır.

Yararlı olmasına rağmen, kod analizi önemli sınırlamalara sahiptir. Bir bölüm kodunun neyin amaçlandığını belirlemek her zaman kolay değildir; özellikle de çok karmaşıksa ve kasıtlı olarak analizi yenmek için yazılmışsa. Kod analizinin bir başka kısıtlaması, mevcut zaman ve kaynaklardır. Rakipsiz antivirüs yazılımı dünyasında, analizin etkinliği ile zaman gecikmesi arasında bir denge vardır.

Emülasyon

Kod analizinin sınırlamalarını aşmak için bir yaklaşım, antivirüs yazılımı için şüpheli kod bölümlerini güvenli bir sanal alanda çalıştırmak ve davranışlarını gözlemlemektir. Bu, aynı kodu analiz etmekten daha hızlı bir yol olabilir.

Genel imzalar

Genel imzalar, belirli bir zararlı yazılım yerine belirli davranışlara özgü imzalardır. Çoğu yeni kötü amaçlı yazılım tamamen yeni değildir, ancak daha önce bulunan kötü amaçlı yazılımdaki bir varyasyon veya bir veya daha fazla önceki kötü amaçlı yazılım örneğindeki kodları içerir. Böylece, önceki analizin sonuçları yeni zararlı yazılımlara karşı kullanılabilir.

Virüsten koruma yazılımı endüstrisindeki rekabet gücü

Virüsten koruma endüstrisinde, çoğu satıcının imzaya dayalı korumasının aynı derecede etkili olduğu genellikle kabul edilmektedir. Bir zararlı yazılım ürünü için bir imza varsa, her ürün (işlevsiz değilse) onu algılamalıdır. Bununla birlikte bazı satıcılar, yeni virüslerden haberdar olmaları ve/veya onları tespit etmek için müşterilerin imza veritabanlarını güncelleştirmelerinde başkalarından önemli ölçüde daha hızlıdırlar.

Sıfır-gün virüs koruması açısından geniş bir etkinlik yelpazesi vardır. Alman bilgisayar dergisi c't, sıfır-gün virüslerin tespit oranlarının %20 ila %68 arasında değiştiğini tespit etti.[14]

Ayrıca bakınız

Kaynakça

  1. ^ Compare: "What are zero-day attacks?". bullguard. Bullguard. 2 Ağustos 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 6 Mart 2017. But the general definition describes zero-day attacks (or zero-day exploits) as attacks that target publicly known but still unpatched vulnerabilities. 
  2. ^ "About Zero Day Exploits". 8 Ağustos 2011 tarihinde kaynağından arşivlendi. Erişim tarihi: 6 Mart 2017. 
  3. ^ THE MAN WHO FOUND STUXNET – SERGEY ULASEN IN THE SPOTLIGHT 17 Aralık 2016 tarihinde Wayback Machine sitesinde arşivlendi. published on November 2, 2011
  4. ^ "SANS sees upsurge in zero-day Web-based attacks, Computerworld". 22 Aralık 2008 tarihinde kaynağından arşivlendi. Erişim tarihi: 6 Mart 2017. 
  5. ^ "E-mail Residual Risk Assessment" Avinti, Inc., p. 2 http://www.avinti.com/download/case_studies/whitepaper_email_residual_risk.pdf 19 Ağustos 2020 tarihinde Wayback Machine sitesinde arşivlendi.
  6. ^ Johansen, Håvard; Johansen, Dag; Renesse, Robbert van (14 Mayıs 2007). Venter, Hein; Eloff, Mariki; Labuschagne, Les; Eloff, Jan; Solms, Rossouw von (Ed.). New Approaches for Security, Privacy and Trust in Complex Environments. IFIP International Federation for Information Processing (İngilizce). Springer US. ss. 373-384. doi:10.1007/978-0-387-72367-9_32. ISBN 9780387723662. 23 Aralık 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 6 Mart 2017. 
  7. ^ Halvar, Flake, (25 Ekim 2016). "Structural Comparison of Executable Objects" (İngilizce). doi:10.17877/de290r-2007. 
  8. ^ "Internet Security Threat Report" Symantec Corp, Vol. X, Sept. 2006, p. 12
  9. ^ "What is a Zero-Day Exploit?". 3 Ocak 2010 tarihinde kaynağından arşivlendi. Erişim tarihi: 6 Mart 2017. 
  10. ^ "Changes to Functionality in Microsoft Windows XP Service Pack 2". 23 Şubat 2005 tarihinde kaynağından arşivlendi. Erişim tarihi: 6 Mart 2017. 
  11. ^ "Mitigating XML Injection 0-Day Attacks through Strategy-Based Detection Systems" (PDF). 12 Mart 2017 tarihinde kaynağından arşivlendi (PDF). Erişim tarihi: 29 Aralık 2013. 
  12. ^ "Symantec unveils SONAR to find zero-day attacks". 2 Nisan 2009 tarihinde kaynağından arşivlendi. Erişim tarihi: 6 Mart 2017. 
  13. ^ "Cyberhawk - zero day threat detection review". Kickstartnews. 3 Mart 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 29 Aralık 2013. 
  14. ^ Goodin, Dan (21 Aralık 2008). "Anti-virus protection gets worse". The Channel. 6 Ekim 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 29 Aralık 2013. 

Dış bağlantılar

İlgili Araştırma Makaleleri

Bilgisayar virüsü, kullanıcının izni ya da bilgisi dahilinde olmadan bilgisayarın çalışma şeklini değiştiren ve kendini diğer dosyaların içerisinde gizlemeye çalışan aslında bir tür bilgisayar programıdır.

Yama, bilgisayar programlarında oluşan bir hatayı ya da programın içeriğindeki hatalı bir fonksiyonu düzelten bir programcıktır. Genelde bilgisayarlardaki en büyük güvenlik sorunlarından olan yazılım açıklarına müdahale amacıyla kullanılır.

Avast Antivirus, bir antivirüs yazılımıdır ve Avast Software tarafından geliştirilmiştir. Yazılımın ilk sürümü 1988 yılında yapılmıştır.

Truva atı (Trojan), bilgisayar yazılımı bağlamında Truva atı zararlı program barındıran veya yükleyen programdır. Terim klasik Truva Atı mitinden türemiştir. Truva atları masum kullanıcıya kullanışlı veya ilginç programlar gibi görünebilir ancak yürütüldüklerinde zararlıdırlar.

<span class="mw-page-title-main">Casus yazılım</span>

Casus yazılım veya spyware, başlıca zararlı yazılım (malware) türlerinden biridir. Casus yazılımların sanıldığından da yaygın olduğu aşağıdaki birkaç istatistikte de görülmektedir.

Exploit, bir bilgisayar programı veya betiktir, bilgisayar programlarında bulunan zayıflık veya hatalar için kullanılır.

Arka kapı, bilgisayar sistemlerinin normal güvenliğini veya şifrelemesini es geçen, genellikle gizli bir yöntemdir. Bu sayede bilgisayar sistemi yetkisiz erişim ve işlemlere açık hale gelir.

Zararlı yazılım, kötü amaçlı yazılım veya malware, bilgisayar ve mobil cihazların işlevlerini bozmak, kritik bilgileri toplamak, özel bilgisayar sistemlerine erişim sağlamak ve istenmeyen reklamları göstermek amacı ile kullanılan yazılımdır. 1990 yılında Yisrael Radai tarafından malware ismi konulmadan önce, bu tür yazılımlara bilgisayar virüsü adı veriliyordu. Kötü amaçlı yazılımların ilk türü, parazit (asalak) yazılım parçalarını yürütülebilir, çalışan içeriklere eklemekle ilgileniyordu. Bu yazılım parçaları, mevcut çalışan uygulamayı, sistem üstünde çalışan programları ve hatta bilgisayar sistemlerinin ayağa kaldırılmasında önemli rol oynayan önyükleme (boot) kodlarını etkileyen makine kodları olabilir. Kötü amaçlı yazılımlar, kullanıcıların gereksinimlerine karşı bir davranış sergiler ve sistemin yetersizliğinden kaynaklanan bir sorun yüzünden istemsiz, rastgele bir şekilde verecek yazılım parçaları içermez.

Mobil güvenlik ya da mobil telefon güvenliği, mobil işlemenin öneminin ve kullanılan akıllı telefonların sayısının artması ile birlikte öne çıkmıştır. Genel olarak bakıldığında, mobil güvenlik, mobil cihazlarda saklanan bilgilerin ve servislerin koruma altına alınması olarak değerlendirilebilir.

<span class="mw-page-title-main">Fidye virüsü</span>

Fidye yazılımı, şantaj yazılımı, fidye virüsü veya ransomware olarak adlandırılan fidye yazılımlarına verilen genel bir addır. Fidye virüsleri bulaştığı bilişim sistemleri üzerinde dosyaları erişimi engelleyerek kullanıcılardan fidye talep eden zararlı yazılımlardır. Fidye virüsü, kurbanın cihazı üzerinde gizlice kendini yükleyen veya kurbanın verisini rehin tutan kriptoviroloji ile kriptoviral alıkoyma saldırısı başlatan ya da fidye ödenene kadar kurbanın verisini yayınlamakla tehdit eden bir kriptoviroloji saldırısı başlatan bir bilgisayar zararlı yazılımıdır. Basit bir fidye virüsü, bilgili bir kişinin geriye çevirmesi zor olan bir şekilde sistemi kilitler ve kilidi açmak için ödeme isteyen bir mesaj gösterir. Daha da gelişmiş zararlı yazılımlar, kurbanın dosyalarını şifreler, bunları erişilemez kılar ve bunların şifresini çözmek için bir fidyenin ödenmesini talep eder. Fidye virüsü, bilgisayarın Ana Dosya Tablosu (MFT) veya tüm sabit sürücüsünü de şifreleyebilir. Şifreleme anahtarı olmadan dosyaların şifrelerinin çözülmesine karşı olduğu için, fidye virüsü bilgisayar kullanıcılarının dosyalarına erişimini engelleyen bir erişim dışı bırakma saldırısıdır, Fidye virüsü saldırıları, geçerli bir dosya olarak kendisini gizleyen bir Truva atı kullanılarak yürütülmektedir.

Microsoft Security Essentials, Microsoft tarafından geliştirilen, kötü amaçlı yazılımlardan ve bilgisayar virüslerden koruma amacıyla oluşturulan antivirüs yazılımıdır. Windows XP, Windows 7, Windows Vista ve Windows 8'de çalışmaktadır. İlk sürümü 29 Eylül 2009'da yayınlanmış olup son güncel sürümü de 23 Şubat 2016'da yayınlanmıştır.

Bilgisayar güvenliğinde, Sandbox, çalışan programları ayırmak için kullanılan bir güvenlik mekanizmasıdır.

S/MIME e-postalarınızı şifrelemenizi sağlayan bir teknolojidir. S/MIME, e-postalarınızı istenmeyen erişimden korumak için asimetrik şifrelemeye dayanmaktadır. Ayrıca, mesajın meşru göndericisi olarak sizi doğrulamak için e-postalarınızı dijital olarak imzalamanıza olanak tanır ve bu da onu birçok kimlik avı saldırısına karşı etkili bir silah haline getirir. S/MIME, IETF standartlarındadır ve bir dizi belgede tanımlanmıştır. En önemlileri ise RFC 3369, 3370, 3850 ve 3851'dir. Başlangıçta RSA Data Security Inc. tarafından geliştirilmiştir. S/MIME işlevselliği modern e-posta yazılımının çoğuna yerleştirilmiş ve ve bu işlevsellik çalışan yazılımların arasında karşılıklı olarak çalışmaktadır.

Duqu, 1 Eylül 2011'de keşfedilen ve Stuxnet solucanı ile ilgili olduğu ve Unit 8200 tarafından yaratıldığı düşünülen bir bilgisayar virüsüdür. Macaristan'daki Budapeşte Teknoloji ve Ekonomi Üniversitesi Kriptografi ve Sistem Güvenliği Laboratuvarı tehdidi keşfetti, analiz etti ve Duqu tehdidini tanımlayan 60 sayfalık bir rapor yazdı. Duqu, adını yarattığı dosyaların isimlerine verdiği "~DQ" ön ekinden almıştır.

Sahte güvenlik yazılımı, kullanıcıları bilgisayarlarında bir virüs olduğuna inandıran ve sonrasında virüs kaldırma aracı için para isteyen bir çeşit zararlı yazılım ve internet dolandırıcılığıdır. Scareware ve bir çeşit ransomware olarak da değerlendirilebilir. Sahte güvenlik yazılımları 2008'den beri bilgisayarlar için önemli bir tehdit oluşturuyor. AdDestroyer ve VirtualBouncer sahte güvenlik yazılımlarının tanınmasını sağlamış olan, 2004'te var olmuş iki eski örnektir.

<span class="mw-page-title-main">İnternet güvenliği</span>

Internet güvenliği, yalnızca Internet, sıkça tarayıcı güvenliği ve World Wide Web ile ilgili değil, aynı zamanda Ağ Güvenliği, uygulama ve işletim sistemleri sistemleri ile bir bütün olarak ilgilidir. Amacı, internet üzerinden saldırılara karşı kullanılacak kurallar ve önlemler oluşturmaktır. İnternet, bilgi alışverişi için güvenli olmayan bir kanalı temsil eder; bu da kimlik avı, çevrimiçi virüsler, truva atları, solucanlar ve daha fazlası gibi yüksek bir saldırı veya dolandırıcılık riskine yol açar.

Beyaz şapkalı hacker, bilişim suçları işleyen hackerların kullandıkları teknik ve yöntemleri bilen ve hackerların eylemleri sırasında kullandıkları araçları ve yazılımları tanıyan, iyi niyetli hackerlardır.

<span class="mw-page-title-main">Antivirüs yazılımı</span> kötü amaçlı yazılımları tespit etmek, önlemek ve kaldırmak için kullanılan bilgisayar güvenlik yazılımı

Antivirüs yazılımı, kötü amaçlı yazılımları engellemek, tespit etmek ve devre dışı bırakmak amacıyla kullanılan bilgisayar programlarıdır. Başlangıçta bilgisayar virüslerinden korunmak amacıyla üretilmiş olan antivirüs yazılımlarının kullanım alanı kötü amaçlı programların ortaya çıkmasının ardından genişlemiştir.

Gri şapkalı hacker, kötü amaçlı hackerların yani siyah şapkalı hackerların kullandıkları teknik ve yöntemleri bilen ve hackerların eylemleri sırasında kullandıkları araçları ve yazılımları tanıyan, bazen yasaları da ihlal edebilen fakat genelde hukuk kuralları çerçevesinde iş yapan, uzman etik standartlarını ihlal etmeyen bilgisayar uzmanlarıdır.

Tarayıcı güvenliği, ağ bağlantılı verileri ve bilgisayar sistemlerini gizlilik ihlallerinden veya kötü amaçlı yazılımlardan korumak için İnternet güvenliğinin web tarayıcılarına uygulanmasıdır. Tarayıcıların güvenlik açıkları genellikle JavaScript ile bazen Adobe Flash kullanan ikincil bir yüke sahip siteler arası komut dosyası (XSS) kullanır. Güvenlik açıkları ayrıca tüm tarayıcılarda yaygın olarak kullanılan güvenlik açıklarından yararlanabilir.).