Full Disclosure: Güvenlik Çarkının Değişmez Dişlisi

0
anonim
Bilgisayar sistemleri varolduğundan beri insanlığa hizmet etmiştir. Gelişimin şimdikine oranla daha hızlı olduğu ve standartların oluşturulmaya başladığı yıllarda bilgiye ulaşmak şimdiki kadar kolay değildi. Varoluş ve standartlaşma süreçlerindeki rekabet, yazılım ve donanım firmalarının ürünlerinin teknik spesifikasyonlarını gizlemesine yol açıyordu. Bu bilgilerin gizlenmesi ise sektörün yol almasını yavaşlattığı gibi önemli bir olgu olan 'Bilgiye ulaşmanın hiç kimse tarafından engellenmemesi gerektiği' prensibine de ters düşüyordu.
Bu dönemlerde bir takım insanlar bunun bir haksızlık olduğunu 'Bilgiye ulaşmanın' hiçbir zaman engellenmemesi gerektiğini düşünerek bilgisayar sistemleriyle ilgili rutin dışı çalışmalarda ve değişikliklerde bulundular. Sistem üzerindeki bir değişikliği akla gelmeyecek yöntemlerle yaparak işlerini kolaylaştırdılar ve bugünlere kadar gelen 'Hacker' kelimesinin özünü oluşturdular. Ellerinde ne teknik spesifikasyonlar ne de proje ayrıntıları olduğu halde bu sistemlerdeki zayıflıkları bularak yapmaları gerekeni en kısa yoldan keşfederek, yaparak bu felsefenin temellerini attılar. Zamanla sektördeki gelişmeler bilgisayar dünyasındaki büyük gelişimle beraber büyük güvenlik sorunlarını da beraberinde getirdi. Felsefenin yarattığı cazibe, uygulamadaki alınan şaşırtıcı sonuçlar göz önüne alındığında 'Hacker' ve 'Hacking' kelimelerinin kapsamı genişlemeye başladı. İlk başlarda yazılımlardaki güvenlik açıkları, programlama hataları yazılım ekibi tarafından tespit edilip kapatılırken sonraları yayınlanan 'Güvenlik Duyuruları' ile Hacker'lar bu gelişim sürecine aktif katkıda bulunmaya başladılar. Yayınlanan güvenlik duyuruları ürün ismi, güvenlik açığının katagorisi, teknik açıklaması ve kimi zaman da exploit kodunu içerir şekilde çeşitli güvenlik grupları ve güvenlik geliştiricileri tarafından yayınlanmaya başladı. Bu güvenlik duyurularının yayınlanmaya başlaması yazılım üreticilerini endişelendirirken bir yandan da yazılım ürünlerinin kalitesini arttırmaya yönelik bir takım faydalar sağlıyordu.

Neticede kısıtlı bir bütçe ve istihdamla yaratılan yazılım ürünlerinin bağımsız güvenlik geliştiricileri tarafından denenmesi ürünlerin belli bir güvenlik standardını tutturmasına büyük katkı sağlıyordu. Bu işin yazılım üreticileri için olumsuz tarafı ise söz konusu yazılım eğer kritik bir iş yapan network merkezli bir yazılım ise yayınlanan bir kaç mühim güvenlik duyurusundan sonra yazılım firmasına ve ürüne olan güvenin sarsılmasıydı. Bağımsız güvenlik geliştiricilerinin bu güvenlik açıklarını bularak yayınlamaları sonucunda herhangi bir maddi kar elde etmedikleri hesaba katıldığında bunun kabul edilebilir bir kayıp olduğu düşünülebilir. Fakat yazılım kalitesini kar ile doğru orantılı ele alan bir takım firmalar güvenlik duyurularını belli şekilde revize ederek bir takım güvenlik geliştiricilerine ve güvenlik gruplarına bir öneriyle birlikte gittiler. Bu öneride bir takım büyük yazılım üreticilerinin istediği şey yayınlanan güvenlik duyurularının içerisinde exploit kodunun olmaması, teknik ayrıntıların minimal düzeyde tutulması yer alıyordu. Bunun yanında güvenlik açığının kapatılması süreci içerisinde süresiz bir yayınlamama politikası da izlenecekti. Bunun karşılığında Foundstone, eEye gibi bir takım güvenlik firmalarına yüklüce meblalar ödenerek anlaşmalar yapıldı. Bu fazla 'işbirlikçi' (!) firmaların aksine asıl yapılması gerekeni ise 'Full Disclosure' yayınlama biçimini benimsemiş kitle yaptı. Rfp yazdığı 'Disclosure Policy'den yola çıkarak standartları belirleyen underground camianın üyeleri bu kurallar doğrultusunda güvenlik duyurularını yayınlıyor ve güvenlik sektörünün gelişimine reel katkılarda bulunuyor. Full disclosure kapsamında öncelikle güvenlik geliştiricisi yazılım firmasıyla irtibat kuruyor ve güvenlik zaafiyetiyle ilgili bildirimde bulunuyor. Bildirim sonrasında gelişen 5 günlük sürede yazılım firması ürünle ilgili uyarı, patch yayınlamak için imkana sahip oluyor. Böylece bu yazılımı kullanan kurumlar bu zaafiyetlerden korunma imkanına sahip oluyorlar.

Yapılan tüm engellemelere ve haksız revizyonlara rağmen. Güvenlik geliştiricileri 'Full Disclosure' çerçevesinde duyurularını yayınlayarak inandıkları amaca hizmet etmenin tadını çıkartıyorlar. Güvenlik endüstrisinin geleceği 'Full Disclosure'da ve Hacker'ların parmaklarında yatıyor.

Tamer Şahin
http://www.securityoffice.net

İlgili Yazılar

Internet Explorer çapraz-site yönlendirme güvenlik açığı

Challenger

Olympos.org' da yer alan bu habere göre Internet Explorer' da uzaktan kod çalıştırmaya imkan tanıyan bir açık ortaya çıktı. Açık Internet Explorer'ın HTTP yönlendirmelerini işleyişinde yer alıyor. Uzaktaki bir kullanıcı özel bir HTML yaratarak hedef sistemde yüklendiğinde (Local Comuter zone ayarlarında) istediği kodu çalıştırabiliyor.

İşin asıl önemli noktası açığa bir yama çıkmayışı.
Not: Yamaya yamaya daha nereye kadar?

Editörün Notu: Daha bu sabah sözde Citibank´tan bana bir e-posta geldi, şu adrese girin ve gerekli düzenlemeleri yapın aksi takdirde sisteme erişiminiz engellenecektir şeklinde. E-postayı incelediğimde fantastik bir URL kurgulamış olduklarını gördüm ve kimbilir kaç kişinin Outlook+IE ortamında buna tıklayarak zarar göreceğini düşünerek hayıflandım.

Opera 7.53 ve öncesi versiyonlarda güvenlik açıkları tesbit edildi

ttk

Opera web tarayıcısının 7.53 ve öncesi versiyonlarında, Linux, Mac ve Windows platformlarında tehlikeli güvenlik açıkları tesbit edildi.

Kullanıcının makinasındaki dosya ve klasörlere okuma hakkı ile erişim, Opera ile alınmış maillerine erişim, kullanıcıya ait cookie'lerin çalınabilmesi, adres yanıltması ve kullanıcının daha önce girdiği adreslerin tesbit edilebilmesi bu açıklardan bazıları imiş. Açığı tesbit edenler ilgili yerleri bilgilendirmişler ve Opera web tarayıcısının açıkları giderilmiş 7.54 numaralı versiyonu indirilmek üzere sitesine konulmuş. Bu programı tercih edenlerin yeni versiyonu indirmeleri faydalarına olacaktır.

Orijinal haber için adres : http://www.net-security.org/vuln.php?id=3625

Microsoft Olası JPEG Saldırısına Karşı Araç Yayınladı

anonim

Güvenlik uzmanlarının, çok büyük bir kurtçuk saldırısının yaklaştığı öngürüsünde bulunduğu bugünlerde Microsoft JPEG işleme sistemindeki GDI kütüphanesinin açıklarını tanımlayan bir "tarayıcı alet" yayınladı.

Tarama aracı MS04-028 yaması ile birlikte yayınlandı. Bu yama JPEG imaj dosyalarının işlenmesi sırasında ortaya çıkan kritik bir açığı kapatıyor. Internet Fırtına Merkezi (The Internet Storm Center - ISC) de windows kullanıcısı olmayan kullanıcılar için bir tarayıcı yayınladı.

Network Penetrasyon Testleri Eğitimi / 17-18 Nisan

butch

Bu eğitim güvenlik dünyasında ismi duyulmuş çeşitli açık kaynak kodlu yazılımların en etkin şekilde kullanılarak efektif güvenlik testlerinin yapılabilmesini amaçlamaktadır. Eğitimde kullanılan araçların isimleri çok bilinmesine rağmen detay özellikleri ve etkin kullanımı genelde bilinmemektedir.

Eğitim sonrası katılımcılar herbiri kendi alanında en iyisi sayılabilecek bu araçları tüm detayları ile birlikte nerede nasıl kullanılacağını öğrenmiş olacaktır.

Diğer detaylar ve eğitim içeriğine bu adresten ulaşabilirsiniz.

Kim Demiş Linux Daha Güvenli Diye

sametc

Burak diye bir arkadaşımız yazmış MS Windows'un GNU/Linux'tan daha guvenli olduğundan bahsediyor :) Hele ve hele son sözü "açık kaynak cazibesine kapılıp guvenliği bir kenara bırakmayın" beni güldürdü, yorumlarını ise size bırakıyorum: http://www.bcnetweb.com/linux/index.php?id=20