Full Disclosure: Güvenlik Çarkının Değişmez Dişlisi

0
anonim
Bilgisayar sistemleri varolduğundan beri insanlığa hizmet etmiştir. Gelişimin şimdikine oranla daha hızlı olduğu ve standartların oluşturulmaya başladığı yıllarda bilgiye ulaşmak şimdiki kadar kolay değildi. Varoluş ve standartlaşma süreçlerindeki rekabet, yazılım ve donanım firmalarının ürünlerinin teknik spesifikasyonlarını gizlemesine yol açıyordu. Bu bilgilerin gizlenmesi ise sektörün yol almasını yavaşlattığı gibi önemli bir olgu olan 'Bilgiye ulaşmanın hiç kimse tarafından engellenmemesi gerektiği' prensibine de ters düşüyordu.
Bu dönemlerde bir takım insanlar bunun bir haksızlık olduğunu 'Bilgiye ulaşmanın' hiçbir zaman engellenmemesi gerektiğini düşünerek bilgisayar sistemleriyle ilgili rutin dışı çalışmalarda ve değişikliklerde bulundular. Sistem üzerindeki bir değişikliği akla gelmeyecek yöntemlerle yaparak işlerini kolaylaştırdılar ve bugünlere kadar gelen 'Hacker' kelimesinin özünü oluşturdular. Ellerinde ne teknik spesifikasyonlar ne de proje ayrıntıları olduğu halde bu sistemlerdeki zayıflıkları bularak yapmaları gerekeni en kısa yoldan keşfederek, yaparak bu felsefenin temellerini attılar. Zamanla sektördeki gelişmeler bilgisayar dünyasındaki büyük gelişimle beraber büyük güvenlik sorunlarını da beraberinde getirdi. Felsefenin yarattığı cazibe, uygulamadaki alınan şaşırtıcı sonuçlar göz önüne alındığında 'Hacker' ve 'Hacking' kelimelerinin kapsamı genişlemeye başladı. İlk başlarda yazılımlardaki güvenlik açıkları, programlama hataları yazılım ekibi tarafından tespit edilip kapatılırken sonraları yayınlanan 'Güvenlik Duyuruları' ile Hacker'lar bu gelişim sürecine aktif katkıda bulunmaya başladılar. Yayınlanan güvenlik duyuruları ürün ismi, güvenlik açığının katagorisi, teknik açıklaması ve kimi zaman da exploit kodunu içerir şekilde çeşitli güvenlik grupları ve güvenlik geliştiricileri tarafından yayınlanmaya başladı. Bu güvenlik duyurularının yayınlanmaya başlaması yazılım üreticilerini endişelendirirken bir yandan da yazılım ürünlerinin kalitesini arttırmaya yönelik bir takım faydalar sağlıyordu.

Neticede kısıtlı bir bütçe ve istihdamla yaratılan yazılım ürünlerinin bağımsız güvenlik geliştiricileri tarafından denenmesi ürünlerin belli bir güvenlik standardını tutturmasına büyük katkı sağlıyordu. Bu işin yazılım üreticileri için olumsuz tarafı ise söz konusu yazılım eğer kritik bir iş yapan network merkezli bir yazılım ise yayınlanan bir kaç mühim güvenlik duyurusundan sonra yazılım firmasına ve ürüne olan güvenin sarsılmasıydı. Bağımsız güvenlik geliştiricilerinin bu güvenlik açıklarını bularak yayınlamaları sonucunda herhangi bir maddi kar elde etmedikleri hesaba katıldığında bunun kabul edilebilir bir kayıp olduğu düşünülebilir. Fakat yazılım kalitesini kar ile doğru orantılı ele alan bir takım firmalar güvenlik duyurularını belli şekilde revize ederek bir takım güvenlik geliştiricilerine ve güvenlik gruplarına bir öneriyle birlikte gittiler. Bu öneride bir takım büyük yazılım üreticilerinin istediği şey yayınlanan güvenlik duyurularının içerisinde exploit kodunun olmaması, teknik ayrıntıların minimal düzeyde tutulması yer alıyordu. Bunun yanında güvenlik açığının kapatılması süreci içerisinde süresiz bir yayınlamama politikası da izlenecekti. Bunun karşılığında Foundstone, eEye gibi bir takım güvenlik firmalarına yüklüce meblalar ödenerek anlaşmalar yapıldı. Bu fazla 'işbirlikçi' (!) firmaların aksine asıl yapılması gerekeni ise 'Full Disclosure' yayınlama biçimini benimsemiş kitle yaptı. Rfp yazdığı 'Disclosure Policy'den yola çıkarak standartları belirleyen underground camianın üyeleri bu kurallar doğrultusunda güvenlik duyurularını yayınlıyor ve güvenlik sektörünün gelişimine reel katkılarda bulunuyor. Full disclosure kapsamında öncelikle güvenlik geliştiricisi yazılım firmasıyla irtibat kuruyor ve güvenlik zaafiyetiyle ilgili bildirimde bulunuyor. Bildirim sonrasında gelişen 5 günlük sürede yazılım firması ürünle ilgili uyarı, patch yayınlamak için imkana sahip oluyor. Böylece bu yazılımı kullanan kurumlar bu zaafiyetlerden korunma imkanına sahip oluyorlar.

Yapılan tüm engellemelere ve haksız revizyonlara rağmen. Güvenlik geliştiricileri 'Full Disclosure' çerçevesinde duyurularını yayınlayarak inandıkları amaca hizmet etmenin tadını çıkartıyorlar. Güvenlik endüstrisinin geleceği 'Full Disclosure'da ve Hacker'ların parmaklarında yatıyor.

Tamer Şahin
http://www.securityoffice.net

İlgili Yazılar

Security Portal

sundance

Güvenlikle ilgili en son haberlere anında erişmek mi istiyorsunuz ? Ya da bu konuda bilginizi arttırmak makaleler okumak mı ?

Security Portal.com bu iş için en ideal sitelerden biri. Dahası Windows makinanıza SecurityFocus Page indirip, çok daha dinamik olarak en son exploitlerden ve güncellemelerden haberdar olabilirsiniz.
Unutmayın herşey on dakika daha önce haberdar olabilmek için...

Windows XP kullanıcılarına hodri meydan!

sundance

Geçtiğimiz günlerde FZ`nin yorumlarından birinde inanılmaz irkildiğimiz bir yazıya:` Windows XP Microsoft`un Nereye Gittiğinin İşareti!` rastladık. Yorumlarda kaybolup gitmesine gönlümüzün razı olmadığı bu yazının büyük bir bölümünü Türkçe`ye çevirip yayınlama ihtiyacı duyduk. Bu yazıda

-Windows XP`nin Internet`e birçok sebeple kullanıcının kontrolü dışında bağlandığı
-Eğer bu bağlantılara izin verilmezse fonksionların bir kısmının kapandığını
-Lisans anlaşması gereği herhangibir MS patchi install eden kullanıcıların makinalarının yönetim haklarını yasal olarak MS`a devrettiği
gibi saçmasapan iddialar var. FM`i takip eden Microsoft Profesyonelleri`nden bu yazıyı okuyup bizleri aydınlatmalarını rica ediyoruz. İnanıyoruz ki bu kadar yoğun kullanılan, başarılı bir işletim sistemi hakkında böyle asılsız ithamlar yapılıyorsa gerektiği şekilde cevap verilmeli ;)

Türk Telekom Sitesi ve Win2003 Server

anonim

13 Haziran Cuma günü web sunucularına gizlice girilen Turk Ttelekom web sitesinin hangi işletim sistemi ve web sunucu yazılımını kullandığını merak edip ufak bir araştırma yaptım. Sanırım oralarda birileri bir hayli hayalperest, aşırı iyimser vs.

Netcraft.com sitesindeki "What's that site running?"e Türk Telekom´un kullandığı işletim sistemi ve web sunucusunu öğrenmek için girdiğimde en son yapılan örnekleme göre 10-13 Haziran arası bir tarihte Windows 2003 platforumuna bir geciş yaşandığını ve haliyle IIS 6.0´a terfi edilmiş olduğunu gördüm.

Default installation

HoLY

Open source sistemlerin güvenlik bakımından kişiye daha bi güven verdiği tartışmasız. Gerçi geçen sene içinde *nix ve türevlerinde bulunan güvenlik açıkları sayısının Windowsa oranla baya bi fazla olmasına rağmen biz genede *nix diyoruz.:)Konuya gireyim,Default installation yapılmış bir sistem internet üstünde ne kadar süre sizce hacklenmeden kalabilir.Süreleri görünce gerçekten şaşırdım, adamlar boş durmuyor. Test amaçlı 4 tane redhat 6.2 sistemi default olarak yükleyip üstündeki aktiviteleri gözlemlemişler.Makinelerden birisinin hacklenme süresi 26 dakika, sistemlere yükledikleri bash key stroke loggerlar sayesinde de ne gibi faliyetlerde bulunulduğunu incelemişler.Konuyla ilgili ayrıntılı bilgi bu linkte. http://www.lucidic.net

XSS ölüyor mu?

Yns_

PHP 5.2 ile beraber PHP'de setcookie() fonksiyonuna 7.parametre olarak httponly desteği gelmiş.

Httponly çerezlere Javascript ile ulaşılamadığı için xss ataklarının en tehlikelisi olan cookie çalma olayı ortadan kalkıyor.

Şu an tek sorun her tarayıcı tarafından desteklenmemesi, ama yakında bir çok tarayıcı yeni sürümünde bu standartlara uyacaktır tahminimce.IE 7 ile en güvenli şekilde bu özelliği destekliyor, fakat mozilla şaşırtıcı bir şekilde desteklemiyor.