Fazlamesai'ye soralım: Peki bu durumda ne yaparsınız?

0
sundance
27 Aralık tarihinde ortaya çıkan Windows Meta File Exploit bir fenomen halini almış durumda. Windows 95'den bu yana bütün sürümlerde bulunduğu tespit edilen açık, Internet Explorer üstünden gösterilen imajlar vasıtasıyla kod çalıştırılmasını sağlıyor ve en çok Windows XP'leri etkiliyor.

Microsoft tarafından yapılan açıklamada resmi yamanın 10 Ocak'tan önce yayınlanamayacağının belirtilmesi çok ciddi endişeler uyandırıyor. Bazı uzmanlar gayri resmi bir yamayı önerirken, Mozilla Firefox kullanıldığı takdirde sözkonusu kod çalıştırılmadan önce kullanıcının onayının istendiği ve bunun geçici bir önlem olabileceği belirtiliyor.
Hadi gelin şunu bir konuşalım.

Özellikle de arkasında bir kurum olmayan, karşımda muhatap bulup bulamayacağım bir yazılıma ne güveneyim diyenlerin ne diyeceğini merak ediyorum.

Not: Kesinlikle Micros~1'un başına geldi diye de yazmıyorum bunu, isteyen yerine başka başka bir ticari firma koysun. Burda tartışmak istediğim, eli yüzü düzgün, şahane ofisleri olan, uzun bacaklı marketing elemanlarına, yakışıklı satış temsilcilerine sahip, oyunu kuralına göre oynayan firmaların verdiğini söylediği ve gerçekte verdiği teknik destekle ilgili. Bu yüzden lütfen "Micros~1 böyle zaten, bunlardan da bu beklenirdi" gibi ifadelerden kaçınıp tartışmanın özüne dair bir şeyler katmanızı bekliyorum.

Durum şu; işletim sistemi üreticiniz size diyor ki "Evet böyle bir açık var 27 Aralık'da ortaya çıktı, evet gelmiş geçmiş en büyük güvenlik açığı, Windows 95'den bu yana bütün sistemleri ilgilendiriyor. Şu anda bir yama üstünde çalışmaktayız. Yama bitti, çalışıyor, fakat bir hafta kadar yan etkilerini test edeceğiz ve tahmini olarak 10 Ocak gibi de yayınlayacağız. Zaten ortada bu açığı kullanan pek bir tehdit de yok çok endişelenmeyin"

Ne yaparsınız?

Bir düşünelim, genel yaklaşım başta Sans olmak üzere, Security Focus, packetstorm gibi siteleri dolaşıp bu konuda bilgi edinmeye çalışmak olacaktır sanırım. Ve bu araştırma sonucunda, SANS'ın da tavsiye ettiği, güvenilir bulduğu bir bağımsız uzmanın hazırladığı resmi olmayan bir yama ile karşı karşıya kalıyorsunuz.

Ve görünen o ki, önümüzdeki beş gün içinde en iyi çözüm bu. Ne yaparsınız?

Gelmek istediğim nokta belli. Gidin belli bir ölçeğin üstündeki yazılımlara bakın, altyapıda kullanılan yüzbinlerce dolarlık yazılımlara, büyük sistemlere. Yeteri kadar kullanımdan sonra mutlaka bir sorun çıktığında haftalarca üreticiden "tamam sizin vakayı not ettik, ilgileniyoruz" dışında bir cevap alamadığı ya da saatlerce telefon konuşmaları yapıp, en sonunda "bu bir bug, bir sonraki versionu bekleyin" cevabıyla karşı karşıya kaldığı durumlarla karşılaşacaksınızdır. Dahası, çeşitli eskalasyon süreçleri sonunda (eğer iyi bir firmaysa) karşınıza yazılımın o kısmını yazmış olan kişi ile karşılaşabilirsiniz son kontatk olarak?

Sorun şu ki, birçok çalışanın derdi aslında problemin çözülmesi değil. Özgür Yazılım camiasının aslında anlayamadığı asıl nokta bu, çözüm odaklı yaklaşıyor oldukları ve bunun yanlış olması. Risk yönetiminde de esas, riski yoketmek değildir. Çünkü eğer ortada risk yoksa, iş de yoktur, mesele riski yoketmek değil, riski yönetmektir. Bir risk varsa, ya bunu minimize edersiniz, ya karşılığını değerlendirir kabullenirsiniz, ya da delege edersiniz.

Dolayısıyla, bir problem çıktığında ve bu problem üretici firma çözüm sağlamadığından dolayı çözülemediğinde birçok güzide kurumumuzda çok büyük de dert yaşanmaz. Sorumluluk delege edilmiştir, cevap bekliyorsunuzdur.

Ama Özgür Yazılım'la iş yapıyorsanız, gidecek yolunuz vardır, problemlerinizi zaten birçok durumda işe yaramayan, kaçış noktaları olan bir bakım anlaşmasıyla değil, bilgileriniz, bağlantılarınız ve birçok durumda hiçbir karşılık gözetmeden bilgi alabileceğiniz Özgür Yazılım camiasından aldığınız desteklerle çözebilirsiniz.

Peki ne oldu? Ben birkaç tane sümüklü üniversite öğrencisinin yazdığı yazılım konusunda allahbilir nasıl destek alırım? diyerek burun kıvıran müdürler, sonuçta bir elemanın yazdığı resmi olmayan yamaya kaldılar. Yukarda belirttiğim gibi koskoca şirketler, operasyonlarının en büyük yükünü alan yazılım işlemez olduğunda, yazılımı yazan kişiye kadar gitmek durumunda kaldılar. Hani bu Özgür Yazılım'ların zayıf noktasıydı? Hani insana bağımlı kalmak kötüydü? Peki bu şekilde bağımlı olabileceğiniz ve böyle birisi olduğu için günü kurtardığınız durumlar ne olacak?

Asıl soruya dönersek peki madem böyle durumlar var ve bunlar çok da istisna kabilinden değil, Özgür Yazılım dünyasının yanlış yaptığı şey ne öyleyse? Veya neden bu model, bütün bu avantajlarına rağmen yarışa geriden başlıyor gözüküyor ya da hakettiği ilgiyi görmüyor sizce? Bu "kurumsal destek" yalanını yöneticilere anlatabilmenin yolu ne?

Ne dersiniz?

Görüşler

0
coderlord
Özgür yazılımda sorun kurumsal destek olup olmamasında değil, bir kurumun olmamasında. Yazıda gayet güzel belirtmişsiniz. Kurumlar sorunu paslayabilecekleri bir muhatap bulamıyorlar. Özgür yazılım hala "bedava" yazılım olarak algılanıyor. "Ucuz etin yahnisi mi olur?" zihniyetindeki kişiler çoğunlukta olduğundan, onbinlerce doları Microsoft ürünlerine yatırmayı mantıklı buluyorlar. Şirket yöneticileri isime para ödüyor, ürüne değil. Ürünün ne işe yaradığını bile bilmiyorlar. Firebird veritabanı mı istersiniz MS SQL'mi dendiğinde sizce neyi tercih ederler? :) Özgür yazılımın bunlara ilave olarak bir "imaj" sorununun olduğunu düşünüyorum. Evet reklam, tanıtım, promosyon önemli. Janjanlı grafik arabirimler, göze hoş gelen renk seçimleri önemli.
0
darkhunter
Yaşanan durum en kötüsü değil, en kötüsü bu açıktan haberi olmayan ve operasyonlarını sürdürmeye devam edecek olan firmaların yaşayacakları... Desteği komüniteden değil de firmadan alıyor olmanızın, bana kalırsa, dez avantajı bu ilişki de bir patron bir de itaat eden (bu sizsiniz) olması.

Diğer yandan özgür yazılımın niçin geriden geldiği sorulunca; "Bu geriden gelmenin kapsamı ne?" diye sorasım geliyor. Genel ağ söz konusuysa; geride kalan özgür yazılım değil. İş istasyonları ve operasyonel uygulamalar söz konusuysa; açık kaynaklı uygulamaların güvenililiğini kimse tartışmıyor.
Yalnız bir nokta çok önemli, muhasebe, butik, petrol istasyonu uygulamaları denince yada akla oyun veya IM gelince açıkçası kimse bu düzlemde çalışmayı tercih etmiyor, etmedi... Piyasanın yönelimi bu şekilde, özgür oyunlar ve otomasyonlar da var tabi ki ama bunların sayısı çok az. Bunun "sivilceli üniversite öğrenci
leri" tarafından geliştirilmiş klişesiyle bir bağlantısı olduğuna da inanmıyorum.

M$ ürünleri sürekli çeşitli sektörler tarafından (zoraki/isteyerek) besleniyor, M$'in sırrı bu bence.
0
darkhunter
Kapitale, kapitalin kuralllarıyla oynamamak. Geride kalınan platformlara bir sebep üretmek gerekirse, aklıma daha iyi bir sebep gelmiyor...
0
sundance
Özgür Yazılım geriden geliyor derken, destek konusunu kastediyordum. Şu an belli bir donanım üzerine uzman bir yazılım kurulması ile oluşan appliance cinsi makinaların (antivirüs, firewall, ips, antispam vs.) %99'u Linux tabanlıysa, arada Foundstone gibi firmalar Windows tabanlı appliance çıkarttığında millet gülüyorsa, Linux'un bu alanlarda geride değil ilerde olduğunu söylemek lazım.

Fakat destek konusunda kişilerle değil, kurumlarla muhatap olmak (birçok durumda suçu onlara atmak diye okuyun bu kısmı) sözkonusu olduğunda, Linux geriye düşüyor. Sanırım buradaki eksiği kapatmak şu an en önemli konulardan biri.

0
urxalit
O yüzden Fişek, Gelecek, Frontsite vs ne olursa olsun linux desteği veren firmaların artması gerek. Gerçi arayan bunları bulur ama yine de elle gösterilecek kadar sayıları az.
0
yilmaz
Kurbanlık koç gibi bekleycek millet yapacak birşey yok.
Tam da kurban bayramında geliyor yama çok da anlamlı olmuş olur. Hatta M$ bunu bayram hediyesi diye lanse edebilir.
İşin şakası bir yana ISA gibi bir ürünü satabilen adamlardan herşey beklenir. Firewall olması gereken yazılımın bile service pack'leri ( -ler -lar çoğul eki ) çıkıyorsa ve buna rağmen bunu kullanıyorsa insanlar burda M$'in suçu yok. Doymayayım kerizliğime.
0
anonim
Sorunun şiddeti bazında değerlendirme yapmak bizi yanlış sonuçlara götürebilir. Sonuç olarak bahsedilen sorun bir bugdır, sorun tespit edilmiştir, çözümün geliştirilmesi ve testi elbette bir zaman alacaktır, bu çözüm son haline getirilip tüm kullanıcılara dağıtılana kadar, insanlar Windows 95'ten bu yana nasıl yaşıyorlarsa hayatlarını aynı biçimde devam ettireceklerdir. Yazılımı geliştiren firma "bu iş 5 günlük bir iştir" diyorsa "hayır bunu yarım saat içinde yapacaksınız" demenin bir faydası olacağını sanmıyorum. Eğer kullanıcı yazılım firmasının çözüm üretmekle ilgili zamanlamasından hoşnut değilse ve bu durum onun için kabul edilemezse, kullandığı yazılımı değiştirmesi bu durumun mantıklı sonucudur.

Şunu dersen katılırım sana, neden bu yazılım firmalarının ürünlerine gösterilen tevazunun onda biri özgür yazılımlara gösterilmiyor? Neden bu problemleri kabul edip sessizce yama bekleyen insanlar, iş özgür yazılımlara gelince "ya sorun çıkar da desteğini alamazsam" bahanesini öne sürüyorlar? Esas konu, neden Microsoft'un bir yamayı x günde çıkarttığı değil de bu olmalı bence.

Risk yönetimi ile ilgili doğru şeyler yazmışsın ancak riskin yok edilmesi de risk yönetiminin bir parçasıdır, yöntemlerden biridir. Sonuç olarak, sözkonusu risk yokedilip risk olmaktan çıkana kadar, risk yönetiminin kapsamı içersindedir.
0
conan
Sorun cok basit. Web'de gezme email okuma! Ayin 10'unda patchlenirsin sonra ne yaparsan yaparsin! Senin neyine kullanici olarak webde gezmek ki zaten?
0
FZ
Çok fazla konuşmaya gerek yok. Dünya üzerindeki yüzbinlerce MS SQL Server'ı felç eden SQL worm yayıldığında Microsoft, bana ne kardeşim, biz birkaç gün önce "patch" yayınlamıştık, kullansaydınız dedi. Daha sonra Microsoft'un kendi içindeki pek çok departmandaki MS SQL Server'ın da saldırıya maruz kaldığı ve problem yaşadığı bilgisi gün ışığına çıktı.

MS ya da bir başkası, benim gördüğüm şu: Başınızın çaresine bakın ve sadece kendi bilgi işlem elemanlarınızın, sistem yöneticilerinizin kalitesine ve bilinçli olmasına güvenin. Gerisi yalan, buzzword, süslü püslü laflar, vs. Bu gerçeği kabullenmenin zamanı geldi de geçiyor bile. Yazılım dediğimiz şey hala diğer pek çok alandaki mühendislik kalitesinin yanına yaklaşabilecek durumda değil. Belki 50 yıl içinde filan, bir ihtimal. Bunu artık kabul etmeliyiz. Yazılım geliştirenler mühendislik ve kalite kontrol bakımından diğer sektörlere kıyasla yerde sürünüyor. İnşallah yazılım geliştirenler bir gün benzer standartları yakalarlar.
0
anonim
cron + apt-get birleşimiyle kendime değil Debian Security Team e güvenirim mevzu çözülür. Daha iyi bir mühendislik çözümü öneren varsa buyursun :)
Görüş belirtmek için giriş yapın...

İlgili Yazılar

Hangi Dağıtımın Güvenlik Açıklarına Cevabı Daha İyi?

darkhunter

SearchSecurity, genel güvenlik açıklarının yamanması konusunda, hangi dağıtımların daha başarılı ve hızlı olduğuna dair istatistiksel bilgiler vermiş.

Web Güvenlik Topluluğu Buluşması - 14 Kasım

anonim

Web Güvenlik Topluluğu tarafından düzenlenen web güvenliği etkinliğine web güvenliği ile ilgilenen herkes davetlidir.

Snort Saldırı Tespit ve Engelleme Sistemi Eğitimi

anonim

1-2 Mayıs 2010 tarihlerinde Snort - Saldırı Tespit ve Engelleme Sistemi eğitimi düzenlenecektir.

Snort(Ağ tabanlı saldırı tespit ve engelleme sistemi) eğitimi günümüzde ağ güvenliği denildiğinde akla ilk gelen bileşen Saldırı Engelleme Sistemleri(IPS)ni açık kaynak kodlu IPS yazılımı Snort kullanarak uygulamalı olarak öğreten bir eğitimdir.

DoS Atakları ve Korunma Yöntemleri

anonim

DoS (Denial of Service) atakları çok yeni bir konu olmasa da lamer camiasında kolay uygulanabilir olması ve az teknik bilgi istemesi nedeniyle halen popularitesini koruyor. Bu konu ile ile ilgili daha detaylı bilgi için Özgür ÖZDEMİRCİLİ tarafından hazırlanan "DoS Atakları ve Korunma Yöntemleri" başlıklı belgeye bu adresden ulaşalabilirsiniz.

Gündem: Email servisleri (ve güvenlik)

e2e

FM'nin gündemi "web tabalı e-posta" servisleriyle devam ediyorken, (FZ'nin bir yorumunda yazdığı, "kendi mail sunucunuzu kurun" önerisinden de esinlenerek) güvenli bir mail servisi kurmanın yöntemlerini öğrenmek fena olmaz.

POP destekli bir mail sunucusu için belki daha ayrıntılı bir araştırma yapmak gerekir. Ama web tabanlı bir mail servisi için gerekli güvenlik adımları Secure Web Based Mail Services başlıklı bu makaleden öğrenilebilir.