Full Disclosure: Güvenlik Çarkının Değişmez Dişlisi

0
anonim
Bilgisayar sistemleri varolduğundan beri insanlığa hizmet etmiştir. Gelişimin şimdikine oranla daha hızlı olduğu ve standartların oluşturulmaya başladığı yıllarda bilgiye ulaşmak şimdiki kadar kolay değildi. Varoluş ve standartlaşma süreçlerindeki rekabet, yazılım ve donanım firmalarının ürünlerinin teknik spesifikasyonlarını gizlemesine yol açıyordu. Bu bilgilerin gizlenmesi ise sektörün yol almasını yavaşlattığı gibi önemli bir olgu olan 'Bilgiye ulaşmanın hiç kimse tarafından engellenmemesi gerektiği' prensibine de ters düşüyordu.
Bu dönemlerde bir takım insanlar bunun bir haksızlık olduğunu 'Bilgiye ulaşmanın' hiçbir zaman engellenmemesi gerektiğini düşünerek bilgisayar sistemleriyle ilgili rutin dışı çalışmalarda ve değişikliklerde bulundular. Sistem üzerindeki bir değişikliği akla gelmeyecek yöntemlerle yaparak işlerini kolaylaştırdılar ve bugünlere kadar gelen 'Hacker' kelimesinin özünü oluşturdular. Ellerinde ne teknik spesifikasyonlar ne de proje ayrıntıları olduğu halde bu sistemlerdeki zayıflıkları bularak yapmaları gerekeni en kısa yoldan keşfederek, yaparak bu felsefenin temellerini attılar. Zamanla sektördeki gelişmeler bilgisayar dünyasındaki büyük gelişimle beraber büyük güvenlik sorunlarını da beraberinde getirdi. Felsefenin yarattığı cazibe, uygulamadaki alınan şaşırtıcı sonuçlar göz önüne alındığında 'Hacker' ve 'Hacking' kelimelerinin kapsamı genişlemeye başladı. İlk başlarda yazılımlardaki güvenlik açıkları, programlama hataları yazılım ekibi tarafından tespit edilip kapatılırken sonraları yayınlanan 'Güvenlik Duyuruları' ile Hacker'lar bu gelişim sürecine aktif katkıda bulunmaya başladılar. Yayınlanan güvenlik duyuruları ürün ismi, güvenlik açığının katagorisi, teknik açıklaması ve kimi zaman da exploit kodunu içerir şekilde çeşitli güvenlik grupları ve güvenlik geliştiricileri tarafından yayınlanmaya başladı. Bu güvenlik duyurularının yayınlanmaya başlaması yazılım üreticilerini endişelendirirken bir yandan da yazılım ürünlerinin kalitesini arttırmaya yönelik bir takım faydalar sağlıyordu.

Neticede kısıtlı bir bütçe ve istihdamla yaratılan yazılım ürünlerinin bağımsız güvenlik geliştiricileri tarafından denenmesi ürünlerin belli bir güvenlik standardını tutturmasına büyük katkı sağlıyordu. Bu işin yazılım üreticileri için olumsuz tarafı ise söz konusu yazılım eğer kritik bir iş yapan network merkezli bir yazılım ise yayınlanan bir kaç mühim güvenlik duyurusundan sonra yazılım firmasına ve ürüne olan güvenin sarsılmasıydı. Bağımsız güvenlik geliştiricilerinin bu güvenlik açıklarını bularak yayınlamaları sonucunda herhangi bir maddi kar elde etmedikleri hesaba katıldığında bunun kabul edilebilir bir kayıp olduğu düşünülebilir. Fakat yazılım kalitesini kar ile doğru orantılı ele alan bir takım firmalar güvenlik duyurularını belli şekilde revize ederek bir takım güvenlik geliştiricilerine ve güvenlik gruplarına bir öneriyle birlikte gittiler. Bu öneride bir takım büyük yazılım üreticilerinin istediği şey yayınlanan güvenlik duyurularının içerisinde exploit kodunun olmaması, teknik ayrıntıların minimal düzeyde tutulması yer alıyordu. Bunun yanında güvenlik açığının kapatılması süreci içerisinde süresiz bir yayınlamama politikası da izlenecekti. Bunun karşılığında Foundstone, eEye gibi bir takım güvenlik firmalarına yüklüce meblalar ödenerek anlaşmalar yapıldı. Bu fazla 'işbirlikçi' (!) firmaların aksine asıl yapılması gerekeni ise 'Full Disclosure' yayınlama biçimini benimsemiş kitle yaptı. Rfp yazdığı 'Disclosure Policy'den yola çıkarak standartları belirleyen underground camianın üyeleri bu kurallar doğrultusunda güvenlik duyurularını yayınlıyor ve güvenlik sektörünün gelişimine reel katkılarda bulunuyor. Full disclosure kapsamında öncelikle güvenlik geliştiricisi yazılım firmasıyla irtibat kuruyor ve güvenlik zaafiyetiyle ilgili bildirimde bulunuyor. Bildirim sonrasında gelişen 5 günlük sürede yazılım firması ürünle ilgili uyarı, patch yayınlamak için imkana sahip oluyor. Böylece bu yazılımı kullanan kurumlar bu zaafiyetlerden korunma imkanına sahip oluyorlar.

Yapılan tüm engellemelere ve haksız revizyonlara rağmen. Güvenlik geliştiricileri 'Full Disclosure' çerçevesinde duyurularını yayınlayarak inandıkları amaca hizmet etmenin tadını çıkartıyorlar. Güvenlik endüstrisinin geleceği 'Full Disclosure'da ve Hacker'ların parmaklarında yatıyor.

Tamer Şahin
http://www.securityoffice.net

İlgili Yazılar

Güvenlikte En Zayıf Halka: İnsan

ts

İnsanlar konuşur. Konuşmalarımız, davranışlarımız sonuçlar doğurur ve bu sonuçlar yaşamımızı yönlendirir, gelişmelere zemin hazırlar.

Bilgi güvenliği gibi bir konu her ne kadar teknik gibi gözükse de içerisinde insan ögesi bulunan sosyal yansımaları içeren bir konu. Bilgi güvenliği insanlardan ve onların ürünü olan zararlı kodlardan korunmayı içerdiği bir gerçek. Konu böyle olunca sistemlerini korumak için uğraşan sistem yöneticileri ve diğer yanda yeni zayıflıklar keşfedip yöntemler bulan hackerlar, bir çarkın dişlileri gibi bu endüstrinin gelişimine on ayak oluyorlar. Fakat bazen insanlardan birşeyler öğrenmenin en iyi yolu sistemlerine sizip kritik bilgilerine ulaşmaktan öte bir hal alabiliyor. Onlarla birebir iletişime geçmek ya da zaten göz önünde olan şeyleri incelemek risksiz, saf bilgi akışını kolaylaştiriyor. Bu yönteme ise kısaca “Sosyal Mühendislik” adı veriliyor.

Mozilla Suite - Firefox - Netscape IDN Host Remote Buffer Overflow Exploit

y0rk

Mozilla suite için nurtopu gibi bir bug daha bulundu. Detay için http://www.frsirt.com/...
Henüz yayınlanmış bir yama yok.

Hack Teknikleri

anonim

Gebze Yüksek Teknoloji Enstitüsünden Ahmet BERKAY'ın yazdığı bu doküman bilgisayar güvenliğine giriş niteliği taşıyor ve pek çok güvenlik riskini kuş bakışı inceliyor.

Güvenli veya kolay: Birini seçmek zorunda mıyız? (veya: WhatsApp gerçekten güvenli mi?)

tongucyumruk

Geçtiğimiz hafta ortalık The Guardian'ın yayınladığı WhatsApp'taki güvenlik açığı mesajlarınızın dinlenmesini mümkün kılıyor haberi ile çalkalandı. WhatsApp'ın da kullandığı Signal protokolünü geliştiren Open Whisper Systems'tan cevap gelmekte gecikmedi: WhatsApp'ta bir arka kapı yoktur. Peki ne oldu? Gündemi takip edemeyenler için bir TL;DR sunmakta fayda olacağını...

Network Penetrasyon Testleri Eğitimi / Haziran 2009

butch

13 Haziran 2009 tarihinde İstanbul Bilgi Üniversitesi, Dolapdere kampüsünde başlayacak 20 saat süreli Network Penetrasyon Testleri Eğitimi, 3 hafta boyunca Cumartesi günleri, Bilgi ve Sistem Güvenliği konularında sertifikalı eğitmenler tarafından, birçok uygulamalı ö­rnekler eşliğinde gerçekleştirilecektir.­