Full Disclosure: Güvenlik Çarkının Değişmez Dişlisi

0
anonim
Bilgisayar sistemleri varolduğundan beri insanlığa hizmet etmiştir. Gelişimin şimdikine oranla daha hızlı olduğu ve standartların oluşturulmaya başladığı yıllarda bilgiye ulaşmak şimdiki kadar kolay değildi. Varoluş ve standartlaşma süreçlerindeki rekabet, yazılım ve donanım firmalarının ürünlerinin teknik spesifikasyonlarını gizlemesine yol açıyordu. Bu bilgilerin gizlenmesi ise sektörün yol almasını yavaşlattığı gibi önemli bir olgu olan 'Bilgiye ulaşmanın hiç kimse tarafından engellenmemesi gerektiği' prensibine de ters düşüyordu.
Bu dönemlerde bir takım insanlar bunun bir haksızlık olduğunu 'Bilgiye ulaşmanın' hiçbir zaman engellenmemesi gerektiğini düşünerek bilgisayar sistemleriyle ilgili rutin dışı çalışmalarda ve değişikliklerde bulundular. Sistem üzerindeki bir değişikliği akla gelmeyecek yöntemlerle yaparak işlerini kolaylaştırdılar ve bugünlere kadar gelen 'Hacker' kelimesinin özünü oluşturdular. Ellerinde ne teknik spesifikasyonlar ne de proje ayrıntıları olduğu halde bu sistemlerdeki zayıflıkları bularak yapmaları gerekeni en kısa yoldan keşfederek, yaparak bu felsefenin temellerini attılar. Zamanla sektördeki gelişmeler bilgisayar dünyasındaki büyük gelişimle beraber büyük güvenlik sorunlarını da beraberinde getirdi. Felsefenin yarattığı cazibe, uygulamadaki alınan şaşırtıcı sonuçlar göz önüne alındığında 'Hacker' ve 'Hacking' kelimelerinin kapsamı genişlemeye başladı. İlk başlarda yazılımlardaki güvenlik açıkları, programlama hataları yazılım ekibi tarafından tespit edilip kapatılırken sonraları yayınlanan 'Güvenlik Duyuruları' ile Hacker'lar bu gelişim sürecine aktif katkıda bulunmaya başladılar. Yayınlanan güvenlik duyuruları ürün ismi, güvenlik açığının katagorisi, teknik açıklaması ve kimi zaman da exploit kodunu içerir şekilde çeşitli güvenlik grupları ve güvenlik geliştiricileri tarafından yayınlanmaya başladı. Bu güvenlik duyurularının yayınlanmaya başlaması yazılım üreticilerini endişelendirirken bir yandan da yazılım ürünlerinin kalitesini arttırmaya yönelik bir takım faydalar sağlıyordu.

Neticede kısıtlı bir bütçe ve istihdamla yaratılan yazılım ürünlerinin bağımsız güvenlik geliştiricileri tarafından denenmesi ürünlerin belli bir güvenlik standardını tutturmasına büyük katkı sağlıyordu. Bu işin yazılım üreticileri için olumsuz tarafı ise söz konusu yazılım eğer kritik bir iş yapan network merkezli bir yazılım ise yayınlanan bir kaç mühim güvenlik duyurusundan sonra yazılım firmasına ve ürüne olan güvenin sarsılmasıydı. Bağımsız güvenlik geliştiricilerinin bu güvenlik açıklarını bularak yayınlamaları sonucunda herhangi bir maddi kar elde etmedikleri hesaba katıldığında bunun kabul edilebilir bir kayıp olduğu düşünülebilir. Fakat yazılım kalitesini kar ile doğru orantılı ele alan bir takım firmalar güvenlik duyurularını belli şekilde revize ederek bir takım güvenlik geliştiricilerine ve güvenlik gruplarına bir öneriyle birlikte gittiler. Bu öneride bir takım büyük yazılım üreticilerinin istediği şey yayınlanan güvenlik duyurularının içerisinde exploit kodunun olmaması, teknik ayrıntıların minimal düzeyde tutulması yer alıyordu. Bunun yanında güvenlik açığının kapatılması süreci içerisinde süresiz bir yayınlamama politikası da izlenecekti. Bunun karşılığında Foundstone, eEye gibi bir takım güvenlik firmalarına yüklüce meblalar ödenerek anlaşmalar yapıldı. Bu fazla 'işbirlikçi' (!) firmaların aksine asıl yapılması gerekeni ise 'Full Disclosure' yayınlama biçimini benimsemiş kitle yaptı. Rfp yazdığı 'Disclosure Policy'den yola çıkarak standartları belirleyen underground camianın üyeleri bu kurallar doğrultusunda güvenlik duyurularını yayınlıyor ve güvenlik sektörünün gelişimine reel katkılarda bulunuyor. Full disclosure kapsamında öncelikle güvenlik geliştiricisi yazılım firmasıyla irtibat kuruyor ve güvenlik zaafiyetiyle ilgili bildirimde bulunuyor. Bildirim sonrasında gelişen 5 günlük sürede yazılım firması ürünle ilgili uyarı, patch yayınlamak için imkana sahip oluyor. Böylece bu yazılımı kullanan kurumlar bu zaafiyetlerden korunma imkanına sahip oluyorlar.

Yapılan tüm engellemelere ve haksız revizyonlara rağmen. Güvenlik geliştiricileri 'Full Disclosure' çerçevesinde duyurularını yayınlayarak inandıkları amaca hizmet etmenin tadını çıkartıyorlar. Güvenlik endüstrisinin geleceği 'Full Disclosure'da ve Hacker'ların parmaklarında yatıyor.

Tamer Şahin
http://www.securityoffice.net

İlgili Yazılar

WinNT/IIS yöneticilerine 1 Nisan şakası

larweda

Birçok anti-güvenlik grubu 1 Nisan günü acı bir şaka yaparak Internette WinNT/W2K - MS IIS konfigürasyonuna sahip web sunucularının güvenlik önlemlerini kırdı ve anasayfalarını değiştirdi.

Microsoft Windows NT4.0 veya Microsoft Windows 2000 sunucular üzerinde Microsoft Internet Information Server ile sunulan ve saldiriya ugrayan adresler arasında Walt Disney, Wall Street Journal'in WebWatch'ı, British Telecomms, HSBC, Good Year Motors, MSN Dollars, Amerikan Deniz Kuvvetleri Taktik Sistemleri (Navy Center for Tactical Systems Interoperability), Ringling Bros. and Barnum & Bailey ve Doğu Carolina Üniversitesi de var.

Blaster Windows´a Karşı

anonim

Blaster adında yeni keşfedilen bir solucan, Internet üzerinde Windows 2000/XP/2003 yüklü bilgisayarları arıyor ve RPC açığını kullanarak uzaktan bulaşıyor. Microsoft, bu açık için daha önce bir yama yayımlamıştı.

DEF CON 10 zamanı açıklandı

anonim

DEF CON'un 10.sunun zamanı ve yeri açıklandı. Yer: Las Vegas, Nevada Alexis Hotel. Zaman ise 2-4 Agustos arası. DEF CON'u ilk defa duyanlar icin kısa bir açıklama: Dünyanın en büyük hacker partisi!

Elime geçen programa gore: Alan içerisinde 802.11b wireless network olacakmış. (Laptopını al ve konferans sırasında fazlamesai'ye haber yaz yani) Call for Papers icin ise su linke başvurmanız gerekiyor. Bu sene 3 konuşma alanı olacakmış. Ayrıca da 150'şer kişilik iki tane de demo odası. Örneğin TiVOnuzu nasıl hack edersiniz gibi toplu gosteriler oralarda yapılacakmış.

Gelmeyin Microsoft`un Üstüne :)

sundance

Love Bug, Kournikova gibi virus/worm saldırılarından illalah diyen Amerikan Hava Kuvvetleri, Microsoft`un hazırladığı Outlook Security Patch`e resmi olarak gülmek için bir rapor hazırlıyor!!!

Bilindiği üzere yollanan e-maildaki Visual Basic kodunun çalıştırılması sayesinde yayılan bu virüsleri durdurmak için Microsoft bu tür kodların çalışmasına izin vermesi için kullanıcının onaylayacağı bir window çıkartma yolunu seçmişti.

L7-Linux için uygulama katmanı paket sınıflandırıcı

anonim

Takip ettigim mail grupların bir tanesinden gelen mail icinde tanıtımını gorupte asagıdaki netfilter eklentisini farkettim.

l7 - Application Layer Packet Classifier for Linux

Networkunuze girip cıkabilecek paketlerler uzerinde etkinliginizi en ust duzeye cıkartabilecek, kullanıcıların bilgisayarlarına sahip oldukları yerel haklarla yukleyebildikleri ve kullana bildikleri P2P, IM oyun vb. programlarının baglantı/transfer ini, portlara bakmaksızın engelleyebilecek bir yazılım. Desteklenen protokoller ve performans dokumleri burada.