(Örneklerle) Egzotik HTTP Güvenlik Başlıkları

"Güvenlik bir ürün değil süreç meselesidir." Bruce Schneier

Neden Güvenlik?

Sevgilinize yazdığınız özel(!) bir e-posta başkaları tarafından kolayca okunabilse kendinizi nasıl hissederdiniz? Ya da bir ihale için hazırladığınız elektronik belgelerle ilgili tüm detaylar rakipleriniz tarafından bir güzel okunsa? Olay yaratacak haberinizdeki en kritik ve gizli noktalar sizinle rekabet eden birileri tarafından kolayca ele geçirilirse ve kendi imzaları ile yayınlansa nasıl bir ruh hali içinde olursunuz?

Bu aslında kısmen reklam olacak. Ancak konu başlığında gördüğünüz gibi, çocuk sahibi kişilerin kendilerine de sordukları bir sorudur.

Kızım benden dolayı, 4 yaşlarında internet ile tanıştı. Tabi hemen şaşırmayın, sadece benim belirlediğim sitelere girerek, elbise giydirme ve 4 yaşındaki bir çocuğun basitçe yapabileceği türden oyunlar oynuyordu.

Ama bir gün..

Cumartesi saat 12:20 itibari ile, BNet ve Doruk %100 down! Sebep olarak MS SQL 2000 sunucularının bir açığını kullanan nimda benzeri bir worm´dan bahsediliyor. TTNet´in kesintileri ve depremden sonraki en büyük kesintilerden biri bu

Yeni slogan ´MS SQL 2000 kullanın rahat edin. Ne downtime sınırları, ne hizmet garantisi, aşın hepsini!´

Not:1453 numaralı portu reject etseler de olurdu :) Diğer ISP´lerden de haber aldıkça yayınlayacağız...

Süper bir uygulama geliştitiriyorsunuz, keskin bir C/C++ (ya da Java, PHP, vs.) programcısı olduğunuzu düşünüyorsunuz, uygulamanızı diğerleri ile de paylaşıyor ve bununla gurur duyuyorsunuz.

Birkaç gün sonra defalarca ıncığına cıncığına dek test ettiğiniz uygulamadaki açıklar SecurityFocus gibi sitelerde yayınlanıyor... Klasik ve kulağa tanıdık gelen bir senaryo değil mi?

Ciddi anlamda uygulama geliştiren ve abuk sabuk güvenlik açıklarına yazılımlarında yer vermek istemeyen programcıların, Secure Programming Cookbook for C and C++ kitabının yazarları tarafından kamuya açılan http://www.secureprogramming.com sitesini ziyaret etmelerinde fayda var.

Steve Gibson, Gibson Araştırma merkezinin güvenlikten sorumlu elemanı(Soyadından çıkardığım kadarıyla da kurucusu olabilir), sayfasında 4 Mayıs 2001 günü grc.com sitelerine yaşadıkları dDoS saldırısını en ince ayrıntılarına kadar anlatmış. Bir sistem yöneticisi ve saldırıyı an an yaşayan `güvenlik görevlisi`nin bakış açısından saldırıyı bu linkten okuyabilirsiniz. Bence alınacak ilginç dersler var. Aynı yazıyı pdf formatında da indirebilirsiniz.

Ayrıca Steve'in hackerlara karşı yazdığı açık mektubu da okumanızı tavsiye ederim :)