Full Disclosure: Güvenlik Çarkının Değişmez Dişlisi

0
anonim
Bilgisayar sistemleri varolduğundan beri insanlığa hizmet etmiştir. Gelişimin şimdikine oranla daha hızlı olduğu ve standartların oluşturulmaya başladığı yıllarda bilgiye ulaşmak şimdiki kadar kolay değildi. Varoluş ve standartlaşma süreçlerindeki rekabet, yazılım ve donanım firmalarının ürünlerinin teknik spesifikasyonlarını gizlemesine yol açıyordu. Bu bilgilerin gizlenmesi ise sektörün yol almasını yavaşlattığı gibi önemli bir olgu olan 'Bilgiye ulaşmanın hiç kimse tarafından engellenmemesi gerektiği' prensibine de ters düşüyordu.
Bu dönemlerde bir takım insanlar bunun bir haksızlık olduğunu 'Bilgiye ulaşmanın' hiçbir zaman engellenmemesi gerektiğini düşünerek bilgisayar sistemleriyle ilgili rutin dışı çalışmalarda ve değişikliklerde bulundular. Sistem üzerindeki bir değişikliği akla gelmeyecek yöntemlerle yaparak işlerini kolaylaştırdılar ve bugünlere kadar gelen 'Hacker' kelimesinin özünü oluşturdular. Ellerinde ne teknik spesifikasyonlar ne de proje ayrıntıları olduğu halde bu sistemlerdeki zayıflıkları bularak yapmaları gerekeni en kısa yoldan keşfederek, yaparak bu felsefenin temellerini attılar. Zamanla sektördeki gelişmeler bilgisayar dünyasındaki büyük gelişimle beraber büyük güvenlik sorunlarını da beraberinde getirdi. Felsefenin yarattığı cazibe, uygulamadaki alınan şaşırtıcı sonuçlar göz önüne alındığında 'Hacker' ve 'Hacking' kelimelerinin kapsamı genişlemeye başladı. İlk başlarda yazılımlardaki güvenlik açıkları, programlama hataları yazılım ekibi tarafından tespit edilip kapatılırken sonraları yayınlanan 'Güvenlik Duyuruları' ile Hacker'lar bu gelişim sürecine aktif katkıda bulunmaya başladılar. Yayınlanan güvenlik duyuruları ürün ismi, güvenlik açığının katagorisi, teknik açıklaması ve kimi zaman da exploit kodunu içerir şekilde çeşitli güvenlik grupları ve güvenlik geliştiricileri tarafından yayınlanmaya başladı. Bu güvenlik duyurularının yayınlanmaya başlaması yazılım üreticilerini endişelendirirken bir yandan da yazılım ürünlerinin kalitesini arttırmaya yönelik bir takım faydalar sağlıyordu.

Neticede kısıtlı bir bütçe ve istihdamla yaratılan yazılım ürünlerinin bağımsız güvenlik geliştiricileri tarafından denenmesi ürünlerin belli bir güvenlik standardını tutturmasına büyük katkı sağlıyordu. Bu işin yazılım üreticileri için olumsuz tarafı ise söz konusu yazılım eğer kritik bir iş yapan network merkezli bir yazılım ise yayınlanan bir kaç mühim güvenlik duyurusundan sonra yazılım firmasına ve ürüne olan güvenin sarsılmasıydı. Bağımsız güvenlik geliştiricilerinin bu güvenlik açıklarını bularak yayınlamaları sonucunda herhangi bir maddi kar elde etmedikleri hesaba katıldığında bunun kabul edilebilir bir kayıp olduğu düşünülebilir. Fakat yazılım kalitesini kar ile doğru orantılı ele alan bir takım firmalar güvenlik duyurularını belli şekilde revize ederek bir takım güvenlik geliştiricilerine ve güvenlik gruplarına bir öneriyle birlikte gittiler. Bu öneride bir takım büyük yazılım üreticilerinin istediği şey yayınlanan güvenlik duyurularının içerisinde exploit kodunun olmaması, teknik ayrıntıların minimal düzeyde tutulması yer alıyordu. Bunun yanında güvenlik açığının kapatılması süreci içerisinde süresiz bir yayınlamama politikası da izlenecekti. Bunun karşılığında Foundstone, eEye gibi bir takım güvenlik firmalarına yüklüce meblalar ödenerek anlaşmalar yapıldı. Bu fazla 'işbirlikçi' (!) firmaların aksine asıl yapılması gerekeni ise 'Full Disclosure' yayınlama biçimini benimsemiş kitle yaptı. Rfp yazdığı 'Disclosure Policy'den yola çıkarak standartları belirleyen underground camianın üyeleri bu kurallar doğrultusunda güvenlik duyurularını yayınlıyor ve güvenlik sektörünün gelişimine reel katkılarda bulunuyor. Full disclosure kapsamında öncelikle güvenlik geliştiricisi yazılım firmasıyla irtibat kuruyor ve güvenlik zaafiyetiyle ilgili bildirimde bulunuyor. Bildirim sonrasında gelişen 5 günlük sürede yazılım firması ürünle ilgili uyarı, patch yayınlamak için imkana sahip oluyor. Böylece bu yazılımı kullanan kurumlar bu zaafiyetlerden korunma imkanına sahip oluyorlar.

Yapılan tüm engellemelere ve haksız revizyonlara rağmen. Güvenlik geliştiricileri 'Full Disclosure' çerçevesinde duyurularını yayınlayarak inandıkları amaca hizmet etmenin tadını çıkartıyorlar. Güvenlik endüstrisinin geleceği 'Full Disclosure'da ve Hacker'ların parmaklarında yatıyor.

Tamer Şahin
http://www.securityoffice.net

İlgili Yazılar

GNU/Linux ve Güvenlik

anonim

Türkiye Linux Kullanıcıları Derneği işbirlğiyle gerçekleştirdiğimiz Linux eğitimlerinin 4. kısımı olan " Linux ve Güvenlik " semineri 5 Mayıs 2009 Salı günü Kadir Has Üniversitesi, Kadir Has Kampüsü , Cibali Salonunda yapılacaktır.

Bilişim Güvenliği Kulübü (BİGUK)

Tarih: 5 Mayıs 2009
Saat:12:00-15:00
Yer: Kadir Has Üniversitesi , Kadir Has Kampüsü, Cibali Salonu- Fatih /İstanbul Ulaşım Düzenleyenler: Bilişim Güvenliği Kulübü-Türkiye Linux Kullanıcıları Derneği
Konuşmacı: Bora Güngören (Bora Güngören kimdir?)

BugTraq Tarayıcı Testi

Soulblighter

SecurityFocus sitesinde Michal Zalewski tarafından gerçekleştirilmiş bir tarayıcı testi var. Ben de bu testin çevirisini (özetle) burada sunuyor ve yorumlarınızı merakla bekliyorum :)

Çok kullanılan web tarayıcılarının potansiyel saldırılara ve DoS ataklarına ne kadar dayanabildiklerini ölçmek istedim. Bu amaçla kullanışlı bir araç hazırladım.

Internet Explorer çapraz-site yönlendirme güvenlik açığı

Challenger

Olympos.org' da yer alan bu habere göre Internet Explorer' da uzaktan kod çalıştırmaya imkan tanıyan bir açık ortaya çıktı. Açık Internet Explorer'ın HTTP yönlendirmelerini işleyişinde yer alıyor. Uzaktaki bir kullanıcı özel bir HTML yaratarak hedef sistemde yüklendiğinde (Local Comuter zone ayarlarında) istediği kodu çalıştırabiliyor.

İşin asıl önemli noktası açığa bir yama çıkmayışı.
Not: Yamaya yamaya daha nereye kadar?

Editörün Notu: Daha bu sabah sözde Citibank´tan bana bir e-posta geldi, şu adrese girin ve gerekli düzenlemeleri yapın aksi takdirde sisteme erişiminiz engellenecektir şeklinde. E-postayı incelediğimde fantastik bir URL kurgulamış olduklarını gördüm ve kimbilir kaç kişinin Outlook+IE ortamında buna tıklayarak zarar göreceğini düşünerek hayıflandım.

Ulusal Kriptoloji Enstitüsü Stajyer Arıyor

FZ

TÜBİTAK bünyesindeki Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü bu yaz bünyesinde görevlendirmek üzere en az 1 ay çalışabilecek stajyer öğrenciler arıyor. Başvuracak adayların aşağıdaki bölümlerden birinden olmaları isteniyor:
  • Elektrik Mühendisliği
  • Elektronik Mühendisliği
  • Bilgisayar Mühendisliği
  • Dilbilim

En İyi 75 Güvenlik Aracı

FZ

Fyodor´un Mayıs ayında nmap-hackers e-posta listesinde 1854 üye üzerinden gerçekleştirdiği ayrıntılı anketin sonucunda en çok kullanılan 75 güvenlik aracı tespit edildi. Güvenlikle ilgilenen ya da ilgilenmeyi düşünen herkesin bu listedeki yazılımları (en azından 10-15 tanesini) incelemesinde fayda var.