Fazlamesai'ye soralım: Peki bu durumda ne yaparsınız?

0
sundance
27 Aralık tarihinde ortaya çıkan Windows Meta File Exploit bir fenomen halini almış durumda. Windows 95'den bu yana bütün sürümlerde bulunduğu tespit edilen açık, Internet Explorer üstünden gösterilen imajlar vasıtasıyla kod çalıştırılmasını sağlıyor ve en çok Windows XP'leri etkiliyor.

Microsoft tarafından yapılan açıklamada resmi yamanın 10 Ocak'tan önce yayınlanamayacağının belirtilmesi çok ciddi endişeler uyandırıyor. Bazı uzmanlar gayri resmi bir yamayı önerirken, Mozilla Firefox kullanıldığı takdirde sözkonusu kod çalıştırılmadan önce kullanıcının onayının istendiği ve bunun geçici bir önlem olabileceği belirtiliyor.
Hadi gelin şunu bir konuşalım.

Özellikle de arkasında bir kurum olmayan, karşımda muhatap bulup bulamayacağım bir yazılıma ne güveneyim diyenlerin ne diyeceğini merak ediyorum.

Not: Kesinlikle Micros~1'un başına geldi diye de yazmıyorum bunu, isteyen yerine başka başka bir ticari firma koysun. Burda tartışmak istediğim, eli yüzü düzgün, şahane ofisleri olan, uzun bacaklı marketing elemanlarına, yakışıklı satış temsilcilerine sahip, oyunu kuralına göre oynayan firmaların verdiğini söylediği ve gerçekte verdiği teknik destekle ilgili. Bu yüzden lütfen "Micros~1 böyle zaten, bunlardan da bu beklenirdi" gibi ifadelerden kaçınıp tartışmanın özüne dair bir şeyler katmanızı bekliyorum.

Durum şu; işletim sistemi üreticiniz size diyor ki "Evet böyle bir açık var 27 Aralık'da ortaya çıktı, evet gelmiş geçmiş en büyük güvenlik açığı, Windows 95'den bu yana bütün sistemleri ilgilendiriyor. Şu anda bir yama üstünde çalışmaktayız. Yama bitti, çalışıyor, fakat bir hafta kadar yan etkilerini test edeceğiz ve tahmini olarak 10 Ocak gibi de yayınlayacağız. Zaten ortada bu açığı kullanan pek bir tehdit de yok çok endişelenmeyin"

Ne yaparsınız?

Bir düşünelim, genel yaklaşım başta Sans olmak üzere, Security Focus, packetstorm gibi siteleri dolaşıp bu konuda bilgi edinmeye çalışmak olacaktır sanırım. Ve bu araştırma sonucunda, SANS'ın da tavsiye ettiği, güvenilir bulduğu bir bağımsız uzmanın hazırladığı resmi olmayan bir yama ile karşı karşıya kalıyorsunuz.

Ve görünen o ki, önümüzdeki beş gün içinde en iyi çözüm bu. Ne yaparsınız?

Gelmek istediğim nokta belli. Gidin belli bir ölçeğin üstündeki yazılımlara bakın, altyapıda kullanılan yüzbinlerce dolarlık yazılımlara, büyük sistemlere. Yeteri kadar kullanımdan sonra mutlaka bir sorun çıktığında haftalarca üreticiden "tamam sizin vakayı not ettik, ilgileniyoruz" dışında bir cevap alamadığı ya da saatlerce telefon konuşmaları yapıp, en sonunda "bu bir bug, bir sonraki versionu bekleyin" cevabıyla karşı karşıya kaldığı durumlarla karşılaşacaksınızdır. Dahası, çeşitli eskalasyon süreçleri sonunda (eğer iyi bir firmaysa) karşınıza yazılımın o kısmını yazmış olan kişi ile karşılaşabilirsiniz son kontatk olarak?

Sorun şu ki, birçok çalışanın derdi aslında problemin çözülmesi değil. Özgür Yazılım camiasının aslında anlayamadığı asıl nokta bu, çözüm odaklı yaklaşıyor oldukları ve bunun yanlış olması. Risk yönetiminde de esas, riski yoketmek değildir. Çünkü eğer ortada risk yoksa, iş de yoktur, mesele riski yoketmek değil, riski yönetmektir. Bir risk varsa, ya bunu minimize edersiniz, ya karşılığını değerlendirir kabullenirsiniz, ya da delege edersiniz.

Dolayısıyla, bir problem çıktığında ve bu problem üretici firma çözüm sağlamadığından dolayı çözülemediğinde birçok güzide kurumumuzda çok büyük de dert yaşanmaz. Sorumluluk delege edilmiştir, cevap bekliyorsunuzdur.

Ama Özgür Yazılım'la iş yapıyorsanız, gidecek yolunuz vardır, problemlerinizi zaten birçok durumda işe yaramayan, kaçış noktaları olan bir bakım anlaşmasıyla değil, bilgileriniz, bağlantılarınız ve birçok durumda hiçbir karşılık gözetmeden bilgi alabileceğiniz Özgür Yazılım camiasından aldığınız desteklerle çözebilirsiniz.

Peki ne oldu? Ben birkaç tane sümüklü üniversite öğrencisinin yazdığı yazılım konusunda allahbilir nasıl destek alırım? diyerek burun kıvıran müdürler, sonuçta bir elemanın yazdığı resmi olmayan yamaya kaldılar. Yukarda belirttiğim gibi koskoca şirketler, operasyonlarının en büyük yükünü alan yazılım işlemez olduğunda, yazılımı yazan kişiye kadar gitmek durumunda kaldılar. Hani bu Özgür Yazılım'ların zayıf noktasıydı? Hani insana bağımlı kalmak kötüydü? Peki bu şekilde bağımlı olabileceğiniz ve böyle birisi olduğu için günü kurtardığınız durumlar ne olacak?

Asıl soruya dönersek peki madem böyle durumlar var ve bunlar çok da istisna kabilinden değil, Özgür Yazılım dünyasının yanlış yaptığı şey ne öyleyse? Veya neden bu model, bütün bu avantajlarına rağmen yarışa geriden başlıyor gözüküyor ya da hakettiği ilgiyi görmüyor sizce? Bu "kurumsal destek" yalanını yöneticilere anlatabilmenin yolu ne?

Ne dersiniz?

Görüşler

0
coderlord
Özgür yazılımda sorun kurumsal destek olup olmamasında değil, bir kurumun olmamasında. Yazıda gayet güzel belirtmişsiniz. Kurumlar sorunu paslayabilecekleri bir muhatap bulamıyorlar. Özgür yazılım hala "bedava" yazılım olarak algılanıyor. "Ucuz etin yahnisi mi olur?" zihniyetindeki kişiler çoğunlukta olduğundan, onbinlerce doları Microsoft ürünlerine yatırmayı mantıklı buluyorlar. Şirket yöneticileri isime para ödüyor, ürüne değil. Ürünün ne işe yaradığını bile bilmiyorlar. Firebird veritabanı mı istersiniz MS SQL'mi dendiğinde sizce neyi tercih ederler? :) Özgür yazılımın bunlara ilave olarak bir "imaj" sorununun olduğunu düşünüyorum. Evet reklam, tanıtım, promosyon önemli. Janjanlı grafik arabirimler, göze hoş gelen renk seçimleri önemli.
0
darkhunter
Yaşanan durum en kötüsü değil, en kötüsü bu açıktan haberi olmayan ve operasyonlarını sürdürmeye devam edecek olan firmaların yaşayacakları... Desteği komüniteden değil de firmadan alıyor olmanızın, bana kalırsa, dez avantajı bu ilişki de bir patron bir de itaat eden (bu sizsiniz) olması.

Diğer yandan özgür yazılımın niçin geriden geldiği sorulunca; "Bu geriden gelmenin kapsamı ne?" diye sorasım geliyor. Genel ağ söz konusuysa; geride kalan özgür yazılım değil. İş istasyonları ve operasyonel uygulamalar söz konusuysa; açık kaynaklı uygulamaların güvenililiğini kimse tartışmıyor.
Yalnız bir nokta çok önemli, muhasebe, butik, petrol istasyonu uygulamaları denince yada akla oyun veya IM gelince açıkçası kimse bu düzlemde çalışmayı tercih etmiyor, etmedi... Piyasanın yönelimi bu şekilde, özgür oyunlar ve otomasyonlar da var tabi ki ama bunların sayısı çok az. Bunun "sivilceli üniversite öğrenci
leri" tarafından geliştirilmiş klişesiyle bir bağlantısı olduğuna da inanmıyorum.

M$ ürünleri sürekli çeşitli sektörler tarafından (zoraki/isteyerek) besleniyor, M$'in sırrı bu bence.
0
darkhunter
Kapitale, kapitalin kuralllarıyla oynamamak. Geride kalınan platformlara bir sebep üretmek gerekirse, aklıma daha iyi bir sebep gelmiyor...
0
sundance
Özgür Yazılım geriden geliyor derken, destek konusunu kastediyordum. Şu an belli bir donanım üzerine uzman bir yazılım kurulması ile oluşan appliance cinsi makinaların (antivirüs, firewall, ips, antispam vs.) %99'u Linux tabanlıysa, arada Foundstone gibi firmalar Windows tabanlı appliance çıkarttığında millet gülüyorsa, Linux'un bu alanlarda geride değil ilerde olduğunu söylemek lazım.

Fakat destek konusunda kişilerle değil, kurumlarla muhatap olmak (birçok durumda suçu onlara atmak diye okuyun bu kısmı) sözkonusu olduğunda, Linux geriye düşüyor. Sanırım buradaki eksiği kapatmak şu an en önemli konulardan biri.

0
urxalit
O yüzden Fişek, Gelecek, Frontsite vs ne olursa olsun linux desteği veren firmaların artması gerek. Gerçi arayan bunları bulur ama yine de elle gösterilecek kadar sayıları az.
0
yilmaz
Kurbanlık koç gibi bekleycek millet yapacak birşey yok.
Tam da kurban bayramında geliyor yama çok da anlamlı olmuş olur. Hatta M$ bunu bayram hediyesi diye lanse edebilir.
İşin şakası bir yana ISA gibi bir ürünü satabilen adamlardan herşey beklenir. Firewall olması gereken yazılımın bile service pack'leri ( -ler -lar çoğul eki ) çıkıyorsa ve buna rağmen bunu kullanıyorsa insanlar burda M$'in suçu yok. Doymayayım kerizliğime.
0
anonim
Sorunun şiddeti bazında değerlendirme yapmak bizi yanlış sonuçlara götürebilir. Sonuç olarak bahsedilen sorun bir bugdır, sorun tespit edilmiştir, çözümün geliştirilmesi ve testi elbette bir zaman alacaktır, bu çözüm son haline getirilip tüm kullanıcılara dağıtılana kadar, insanlar Windows 95'ten bu yana nasıl yaşıyorlarsa hayatlarını aynı biçimde devam ettireceklerdir. Yazılımı geliştiren firma "bu iş 5 günlük bir iştir" diyorsa "hayır bunu yarım saat içinde yapacaksınız" demenin bir faydası olacağını sanmıyorum. Eğer kullanıcı yazılım firmasının çözüm üretmekle ilgili zamanlamasından hoşnut değilse ve bu durum onun için kabul edilemezse, kullandığı yazılımı değiştirmesi bu durumun mantıklı sonucudur.

Şunu dersen katılırım sana, neden bu yazılım firmalarının ürünlerine gösterilen tevazunun onda biri özgür yazılımlara gösterilmiyor? Neden bu problemleri kabul edip sessizce yama bekleyen insanlar, iş özgür yazılımlara gelince "ya sorun çıkar da desteğini alamazsam" bahanesini öne sürüyorlar? Esas konu, neden Microsoft'un bir yamayı x günde çıkarttığı değil de bu olmalı bence.

Risk yönetimi ile ilgili doğru şeyler yazmışsın ancak riskin yok edilmesi de risk yönetiminin bir parçasıdır, yöntemlerden biridir. Sonuç olarak, sözkonusu risk yokedilip risk olmaktan çıkana kadar, risk yönetiminin kapsamı içersindedir.
0
conan
Sorun cok basit. Web'de gezme email okuma! Ayin 10'unda patchlenirsin sonra ne yaparsan yaparsin! Senin neyine kullanici olarak webde gezmek ki zaten?
0
FZ
Çok fazla konuşmaya gerek yok. Dünya üzerindeki yüzbinlerce MS SQL Server'ı felç eden SQL worm yayıldığında Microsoft, bana ne kardeşim, biz birkaç gün önce "patch" yayınlamıştık, kullansaydınız dedi. Daha sonra Microsoft'un kendi içindeki pek çok departmandaki MS SQL Server'ın da saldırıya maruz kaldığı ve problem yaşadığı bilgisi gün ışığına çıktı.

MS ya da bir başkası, benim gördüğüm şu: Başınızın çaresine bakın ve sadece kendi bilgi işlem elemanlarınızın, sistem yöneticilerinizin kalitesine ve bilinçli olmasına güvenin. Gerisi yalan, buzzword, süslü püslü laflar, vs. Bu gerçeği kabullenmenin zamanı geldi de geçiyor bile. Yazılım dediğimiz şey hala diğer pek çok alandaki mühendislik kalitesinin yanına yaklaşabilecek durumda değil. Belki 50 yıl içinde filan, bir ihtimal. Bunu artık kabul etmeliyiz. Yazılım geliştirenler mühendislik ve kalite kontrol bakımından diğer sektörlere kıyasla yerde sürünüyor. İnşallah yazılım geliştirenler bir gün benzer standartları yakalarlar.
0
anonim
cron + apt-get birleşimiyle kendime değil Debian Security Team e güvenirim mevzu çözülür. Daha iyi bir mühendislik çözümü öneren varsa buyursun :)
0
myavuzselim
Görüş belirtmek için giriş yapın...

İlgili Yazılar

Yüksek Hızlı Windows NT Parola Kırıcı

FZ

Bilgisayarınıza yetkisiz kişilerin girmesini istemiyorsunuz. Parolalar konusunda hassassınız. Söz gelimi, deneyimli biri olarak şöyle bir parola kullanıyorsunuz: u76d0pelgbuz3. Oldukça karışık ve oluşan harmandan (hash) geriye doğru dönmesi imkansız denecek kadar zor... mu acaba?

Sadece 2 saniye sürmüş yukarıdaki parolanın tespit edilmesi! İnanmayanlar Advanced Instant NT Password Cracker sayfasına bakabilirler. Sistemi geliştiren yazarların konu ile ilgili Lecture Notes in Computer Science (Proceedings of Crypto'03) isimli kaynakta sunacakları teknik makaleyi buradan çekebilirsiniz.

İsterseniz yukarıdaki adrese kendi sisteminizdeki harmanları (hash values) göndererek ne kadar sürede kırıldıklarını da görebilirsiniz ;-)

Keylogger üreticisine dava... Ama neden?

tongucyumruk

ABD ordusunda çalışıyorsanız, eşinize güvenmediğiniz için bilgisayarına keylogger yüklediyseniz ve boşanmanızın ardından durum ortaya çıkınca hiç tahmin etmediğiniz tazminat davası ile karşı karşıya kalırsanız ne yaparsınız?

Tabiiki her vatansever Amerikan vatandaşının yapacağını: Kanadalı şirketi dava edersiniz.

Anonim gezinti için Tor kullanırken dikkat!

anonim

Tor EFF'nin anonim gezinti için ücretsiz sağladığı, ticari alternatiflerinden daha gelişmiş bir yazılım. Fakat Tor kullansanız bile basit yöntemlerle kimliğiniz ortaya çıkarılabiliyor. Tor kullanırken dikkat edilmesi gerekenler şöyle sıralanmış:

Hacker`lar İşe Alınır mı?

FZ

Yukarıdaki sorunun cevabı nedir diye düşündünüz mü bilmiyorum ama benim cevabım "alınmalıdırlar, tabii haklarında gerekli araştırmalar ve testler yapıldıktan sonra" şeklindeydi.

Bugün okuduğum bir haberde ise yakın zamanda yapılmış bir araştırmaya göre şirket yöneticilerinin görüşlerinin bu konuda olumsuz olduğu anlatılıyor.

Hackerlar işe alınır mı? haberindeki sonuçların ilginç olan kısmı ise genel eğilimin hackerları tam zamanlı şirket elemanı olarak değil de daha çok aralıklarla başvurulacak bir tür danışman statüsünde yönünde olması.

Biyometrik Güvenlik ve Uygulama Kolaylığı

FZ

Pek çok filmde biyometrik güvenlik ile karşılaşmışsınızdır. Mesela adam kapıya elini koyar ve adamı tanıyan sistem kapıyı açar, kadın asansöre biner ve bir kat numarası söyler ve kadının sesini analiz eden asansör bilgisayarı kadın eğer yetkili ise hareket etmeye başlar veya bir sistemi kullanmaya çalışan kişi karşısındaki kameraya bakar bakmaz sistem iris tabakası şeklini analiz eder ve elindeki eski bilgilerle bir kıyaslama yapar...

Kulağa hoş geliyor değil mi? Yani taşımanız gereken bir anahtar veya akıllı kart yok, hatırlamanız gereken ve zırt pırt unuttuğunuz bir sürü parola, şifre vs. yok. Tamamen sizi bedensel özelliklerinize yani size özgü ve taklit edilmesi nerede ise imkansız işaretlere dayanan güvenlik sistemleri.