Fazlamesai'ye soralım: Peki bu durumda ne yaparsınız?

0
sundance
27 Aralık tarihinde ortaya çıkan Windows Meta File Exploit bir fenomen halini almış durumda. Windows 95'den bu yana bütün sürümlerde bulunduğu tespit edilen açık, Internet Explorer üstünden gösterilen imajlar vasıtasıyla kod çalıştırılmasını sağlıyor ve en çok Windows XP'leri etkiliyor.

Microsoft tarafından yapılan açıklamada resmi yamanın 10 Ocak'tan önce yayınlanamayacağının belirtilmesi çok ciddi endişeler uyandırıyor. Bazı uzmanlar gayri resmi bir yamayı önerirken, Mozilla Firefox kullanıldığı takdirde sözkonusu kod çalıştırılmadan önce kullanıcının onayının istendiği ve bunun geçici bir önlem olabileceği belirtiliyor.
Hadi gelin şunu bir konuşalım.

Özellikle de arkasında bir kurum olmayan, karşımda muhatap bulup bulamayacağım bir yazılıma ne güveneyim diyenlerin ne diyeceğini merak ediyorum.

Not: Kesinlikle Micros~1'un başına geldi diye de yazmıyorum bunu, isteyen yerine başka başka bir ticari firma koysun. Burda tartışmak istediğim, eli yüzü düzgün, şahane ofisleri olan, uzun bacaklı marketing elemanlarına, yakışıklı satış temsilcilerine sahip, oyunu kuralına göre oynayan firmaların verdiğini söylediği ve gerçekte verdiği teknik destekle ilgili. Bu yüzden lütfen "Micros~1 böyle zaten, bunlardan da bu beklenirdi" gibi ifadelerden kaçınıp tartışmanın özüne dair bir şeyler katmanızı bekliyorum.

Durum şu; işletim sistemi üreticiniz size diyor ki "Evet böyle bir açık var 27 Aralık'da ortaya çıktı, evet gelmiş geçmiş en büyük güvenlik açığı, Windows 95'den bu yana bütün sistemleri ilgilendiriyor. Şu anda bir yama üstünde çalışmaktayız. Yama bitti, çalışıyor, fakat bir hafta kadar yan etkilerini test edeceğiz ve tahmini olarak 10 Ocak gibi de yayınlayacağız. Zaten ortada bu açığı kullanan pek bir tehdit de yok çok endişelenmeyin"

Ne yaparsınız?

Bir düşünelim, genel yaklaşım başta Sans olmak üzere, Security Focus, packetstorm gibi siteleri dolaşıp bu konuda bilgi edinmeye çalışmak olacaktır sanırım. Ve bu araştırma sonucunda, SANS'ın da tavsiye ettiği, güvenilir bulduğu bir bağımsız uzmanın hazırladığı resmi olmayan bir yama ile karşı karşıya kalıyorsunuz.

Ve görünen o ki, önümüzdeki beş gün içinde en iyi çözüm bu. Ne yaparsınız?

Gelmek istediğim nokta belli. Gidin belli bir ölçeğin üstündeki yazılımlara bakın, altyapıda kullanılan yüzbinlerce dolarlık yazılımlara, büyük sistemlere. Yeteri kadar kullanımdan sonra mutlaka bir sorun çıktığında haftalarca üreticiden "tamam sizin vakayı not ettik, ilgileniyoruz" dışında bir cevap alamadığı ya da saatlerce telefon konuşmaları yapıp, en sonunda "bu bir bug, bir sonraki versionu bekleyin" cevabıyla karşı karşıya kaldığı durumlarla karşılaşacaksınızdır. Dahası, çeşitli eskalasyon süreçleri sonunda (eğer iyi bir firmaysa) karşınıza yazılımın o kısmını yazmış olan kişi ile karşılaşabilirsiniz son kontatk olarak?

Sorun şu ki, birçok çalışanın derdi aslında problemin çözülmesi değil. Özgür Yazılım camiasının aslında anlayamadığı asıl nokta bu, çözüm odaklı yaklaşıyor oldukları ve bunun yanlış olması. Risk yönetiminde de esas, riski yoketmek değildir. Çünkü eğer ortada risk yoksa, iş de yoktur, mesele riski yoketmek değil, riski yönetmektir. Bir risk varsa, ya bunu minimize edersiniz, ya karşılığını değerlendirir kabullenirsiniz, ya da delege edersiniz.

Dolayısıyla, bir problem çıktığında ve bu problem üretici firma çözüm sağlamadığından dolayı çözülemediğinde birçok güzide kurumumuzda çok büyük de dert yaşanmaz. Sorumluluk delege edilmiştir, cevap bekliyorsunuzdur.

Ama Özgür Yazılım'la iş yapıyorsanız, gidecek yolunuz vardır, problemlerinizi zaten birçok durumda işe yaramayan, kaçış noktaları olan bir bakım anlaşmasıyla değil, bilgileriniz, bağlantılarınız ve birçok durumda hiçbir karşılık gözetmeden bilgi alabileceğiniz Özgür Yazılım camiasından aldığınız desteklerle çözebilirsiniz.

Peki ne oldu? Ben birkaç tane sümüklü üniversite öğrencisinin yazdığı yazılım konusunda allahbilir nasıl destek alırım? diyerek burun kıvıran müdürler, sonuçta bir elemanın yazdığı resmi olmayan yamaya kaldılar. Yukarda belirttiğim gibi koskoca şirketler, operasyonlarının en büyük yükünü alan yazılım işlemez olduğunda, yazılımı yazan kişiye kadar gitmek durumunda kaldılar. Hani bu Özgür Yazılım'ların zayıf noktasıydı? Hani insana bağımlı kalmak kötüydü? Peki bu şekilde bağımlı olabileceğiniz ve böyle birisi olduğu için günü kurtardığınız durumlar ne olacak?

Asıl soruya dönersek peki madem böyle durumlar var ve bunlar çok da istisna kabilinden değil, Özgür Yazılım dünyasının yanlış yaptığı şey ne öyleyse? Veya neden bu model, bütün bu avantajlarına rağmen yarışa geriden başlıyor gözüküyor ya da hakettiği ilgiyi görmüyor sizce? Bu "kurumsal destek" yalanını yöneticilere anlatabilmenin yolu ne?

Ne dersiniz?

Görüşler

0
coderlord
Özgür yazılımda sorun kurumsal destek olup olmamasında değil, bir kurumun olmamasında. Yazıda gayet güzel belirtmişsiniz. Kurumlar sorunu paslayabilecekleri bir muhatap bulamıyorlar. Özgür yazılım hala "bedava" yazılım olarak algılanıyor. "Ucuz etin yahnisi mi olur?" zihniyetindeki kişiler çoğunlukta olduğundan, onbinlerce doları Microsoft ürünlerine yatırmayı mantıklı buluyorlar. Şirket yöneticileri isime para ödüyor, ürüne değil. Ürünün ne işe yaradığını bile bilmiyorlar. Firebird veritabanı mı istersiniz MS SQL'mi dendiğinde sizce neyi tercih ederler? :) Özgür yazılımın bunlara ilave olarak bir "imaj" sorununun olduğunu düşünüyorum. Evet reklam, tanıtım, promosyon önemli. Janjanlı grafik arabirimler, göze hoş gelen renk seçimleri önemli.
0
darkhunter
Yaşanan durum en kötüsü değil, en kötüsü bu açıktan haberi olmayan ve operasyonlarını sürdürmeye devam edecek olan firmaların yaşayacakları... Desteği komüniteden değil de firmadan alıyor olmanızın, bana kalırsa, dez avantajı bu ilişki de bir patron bir de itaat eden (bu sizsiniz) olması.

Diğer yandan özgür yazılımın niçin geriden geldiği sorulunca; "Bu geriden gelmenin kapsamı ne?" diye sorasım geliyor. Genel ağ söz konusuysa; geride kalan özgür yazılım değil. İş istasyonları ve operasyonel uygulamalar söz konusuysa; açık kaynaklı uygulamaların güvenililiğini kimse tartışmıyor.
Yalnız bir nokta çok önemli, muhasebe, butik, petrol istasyonu uygulamaları denince yada akla oyun veya IM gelince açıkçası kimse bu düzlemde çalışmayı tercih etmiyor, etmedi... Piyasanın yönelimi bu şekilde, özgür oyunlar ve otomasyonlar da var tabi ki ama bunların sayısı çok az. Bunun "sivilceli üniversite öğrenci
leri" tarafından geliştirilmiş klişesiyle bir bağlantısı olduğuna da inanmıyorum.

M$ ürünleri sürekli çeşitli sektörler tarafından (zoraki/isteyerek) besleniyor, M$'in sırrı bu bence.
0
darkhunter
Kapitale, kapitalin kuralllarıyla oynamamak. Geride kalınan platformlara bir sebep üretmek gerekirse, aklıma daha iyi bir sebep gelmiyor...
0
sundance
Özgür Yazılım geriden geliyor derken, destek konusunu kastediyordum. Şu an belli bir donanım üzerine uzman bir yazılım kurulması ile oluşan appliance cinsi makinaların (antivirüs, firewall, ips, antispam vs.) %99'u Linux tabanlıysa, arada Foundstone gibi firmalar Windows tabanlı appliance çıkarttığında millet gülüyorsa, Linux'un bu alanlarda geride değil ilerde olduğunu söylemek lazım.

Fakat destek konusunda kişilerle değil, kurumlarla muhatap olmak (birçok durumda suçu onlara atmak diye okuyun bu kısmı) sözkonusu olduğunda, Linux geriye düşüyor. Sanırım buradaki eksiği kapatmak şu an en önemli konulardan biri.

0
urxalit
O yüzden Fişek, Gelecek, Frontsite vs ne olursa olsun linux desteği veren firmaların artması gerek. Gerçi arayan bunları bulur ama yine de elle gösterilecek kadar sayıları az.
0
yilmaz
Kurbanlık koç gibi bekleycek millet yapacak birşey yok.
Tam da kurban bayramında geliyor yama çok da anlamlı olmuş olur. Hatta M$ bunu bayram hediyesi diye lanse edebilir.
İşin şakası bir yana ISA gibi bir ürünü satabilen adamlardan herşey beklenir. Firewall olması gereken yazılımın bile service pack'leri ( -ler -lar çoğul eki ) çıkıyorsa ve buna rağmen bunu kullanıyorsa insanlar burda M$'in suçu yok. Doymayayım kerizliğime.
0
anonim
Sorunun şiddeti bazında değerlendirme yapmak bizi yanlış sonuçlara götürebilir. Sonuç olarak bahsedilen sorun bir bugdır, sorun tespit edilmiştir, çözümün geliştirilmesi ve testi elbette bir zaman alacaktır, bu çözüm son haline getirilip tüm kullanıcılara dağıtılana kadar, insanlar Windows 95'ten bu yana nasıl yaşıyorlarsa hayatlarını aynı biçimde devam ettireceklerdir. Yazılımı geliştiren firma "bu iş 5 günlük bir iştir" diyorsa "hayır bunu yarım saat içinde yapacaksınız" demenin bir faydası olacağını sanmıyorum. Eğer kullanıcı yazılım firmasının çözüm üretmekle ilgili zamanlamasından hoşnut değilse ve bu durum onun için kabul edilemezse, kullandığı yazılımı değiştirmesi bu durumun mantıklı sonucudur.

Şunu dersen katılırım sana, neden bu yazılım firmalarının ürünlerine gösterilen tevazunun onda biri özgür yazılımlara gösterilmiyor? Neden bu problemleri kabul edip sessizce yama bekleyen insanlar, iş özgür yazılımlara gelince "ya sorun çıkar da desteğini alamazsam" bahanesini öne sürüyorlar? Esas konu, neden Microsoft'un bir yamayı x günde çıkarttığı değil de bu olmalı bence.

Risk yönetimi ile ilgili doğru şeyler yazmışsın ancak riskin yok edilmesi de risk yönetiminin bir parçasıdır, yöntemlerden biridir. Sonuç olarak, sözkonusu risk yokedilip risk olmaktan çıkana kadar, risk yönetiminin kapsamı içersindedir.
0
conan
Sorun cok basit. Web'de gezme email okuma! Ayin 10'unda patchlenirsin sonra ne yaparsan yaparsin! Senin neyine kullanici olarak webde gezmek ki zaten?
0
FZ
Çok fazla konuşmaya gerek yok. Dünya üzerindeki yüzbinlerce MS SQL Server'ı felç eden SQL worm yayıldığında Microsoft, bana ne kardeşim, biz birkaç gün önce "patch" yayınlamıştık, kullansaydınız dedi. Daha sonra Microsoft'un kendi içindeki pek çok departmandaki MS SQL Server'ın da saldırıya maruz kaldığı ve problem yaşadığı bilgisi gün ışığına çıktı.

MS ya da bir başkası, benim gördüğüm şu: Başınızın çaresine bakın ve sadece kendi bilgi işlem elemanlarınızın, sistem yöneticilerinizin kalitesine ve bilinçli olmasına güvenin. Gerisi yalan, buzzword, süslü püslü laflar, vs. Bu gerçeği kabullenmenin zamanı geldi de geçiyor bile. Yazılım dediğimiz şey hala diğer pek çok alandaki mühendislik kalitesinin yanına yaklaşabilecek durumda değil. Belki 50 yıl içinde filan, bir ihtimal. Bunu artık kabul etmeliyiz. Yazılım geliştirenler mühendislik ve kalite kontrol bakımından diğer sektörlere kıyasla yerde sürünüyor. İnşallah yazılım geliştirenler bir gün benzer standartları yakalarlar.
0
anonim
cron + apt-get birleşimiyle kendime değil Debian Security Team e güvenirim mevzu çözülür. Daha iyi bir mühendislik çözümü öneren varsa buyursun :)
Görüş belirtmek için giriş yapın...

İlgili Yazılar

SecureProgramming.com: Güvenli Programlama Teknikleri

FZ

Süper bir uygulama geliştitiriyorsunuz, keskin bir C/C++ (ya da Java, PHP, vs.) programcısı olduğunuzu düşünüyorsunuz, uygulamanızı diğerleri ile de paylaşıyor ve bununla gurur duyuyorsunuz.

Birkaç gün sonra defalarca ıncığına cıncığına dek test ettiğiniz uygulamadaki açıklar SecurityFocus gibi sitelerde yayınlanıyor... Klasik ve kulağa tanıdık gelen bir senaryo değil mi?

Ciddi anlamda uygulama geliştiren ve abuk sabuk güvenlik açıklarına yazılımlarında yer vermek istemeyen programcıların, Secure Programming Cookbook for C and C++ kitabının yazarları tarafından kamuya açılan http://www.secureprogramming.com sitesini ziyaret etmelerinde fayda var.

Darik´s Boot and Nuke İle Makinanızı Uçurun!

FZ

Şirketinizde 50 tane eski makina var ve bunları satışa çıkardınız. Gayet güzel. Peki ya personelinizin kullanmış olduğu bu makinalardaki eski bilgiler? Formatlamış olmanız yeterli mi? Internet'te küçük bir araştırma size birkaç kez formatlanmış ve farklı işletim sistemleri yüklenmiş makinalardan bile pek çok verinin sökülüp alınabileceğini gösterecektir. Daha birkaç ay önce bir açık artırmada elden çıkarılan pek çok bilgisayardaki eski bilgiler, parolalar, kişisel ve özel bilgilerin kolayca elde edilebileceği görülmüştü. GNU/Linux camiası bunun için pratik ve hızlı bir çözüm geliştirmiş: DBAN

JEdit ActiveX Nesnesi Veri İfşa Açığı

anonim

Türkiye'deki bir çok bankanın kullanıcılarını tuş kaydedici (keylogger) ve truva atlarına karşı korumak için hizmete sunduğu JEdit objesinde veri ifşa açığı bulundu. Bu açık kullanılarak kurumsal ağların güvenlik yapılarını aşmak için önemli bilgilere erişilebiliyor.

SHA-1 kırıldı!

abakana

Bruce Schneier blogunda Şandung Üniversitesinden bir grup aratırmacının SHA- 1 algoritmasını kırdığını belirtti.

SHA-0 ve SHA-1'e yönelik daha önceki kırma girişimlerinden üretilen yeni metod büyük bir kripto-analitik sonuç olarak belirtilmiş.

Cisco'ya karşı takım

sundance

Cumartesi gecesi DefCon'un akabinde, partiler ve eğlenceler zamanıydı. Fakat bütün bu karmaşadan uzak bir odada, bir grup laptoplarının başında çalışmakta, zaman zaman birbirleriyle konuşmakta ve odanın ortasında duran iki metal kutuya ilgi ile bakmaktaydılar.
Konu, Michael Lynn'in BlackHat 2005'de yaptığı Cisco Routerlar üzerine sunumunun engellenmeye çalışılması ve çalıştığı firma olan ISS'den ayrılmak zorunda kalmasıyla ilgiliydi. Şimdi ise bir grup uzman, Michael Lynn'in yolundan giderek, biraraya gelip sözkonusu açığı genişletmeyi hedefliyorlardı. Kara Şapkalı'lardan birinin belirttiği gibi "Michael'ın altı ayda yaptığını biz çok daha kısa sürede çözebiliriz. Cisco'nun yaptığı basitçe ifade etmek gerekirse aptalcaydı, böylece üstü örtülmüş bir probleme çok daha fazla dikkat çektiler"