Gemnasium: Proje bağımlılıklarının güncellik ve güvenliğini kontrol altında tutun

Geçtiğimiz günlerde Turkcell'in Mobilaktif.com adresli sitesi üzerindeki bir açıkla istenilen Turkcell abonesinden kontör silinmesine dair haberlere, siteden açığı kabul eden bir açıklama geldi: http://www.mobilaktif.com/popup.php?sp=haberler

Microsoft bir işletim sistemi üzerinde yine Microsoft bir web tarayıcısı kullanırken akla gelen ilk şey bu dijital imzalardan en güvenilir olanının yine Microsoft firmasına ait olacağını düşünmektir, çok normal bir şekilde de olması gereken budur.

Fakat ne yazık ki durumun böyle olmadığı Microsoft tarafından yapılan ilginç bir açıklamayla anlaşılmıştır. Yapılan açıklamada denildiğine göre 29 Ocak ve 30 Ocak 2001 tarihinde VeriSign dijital imza firmasından bir kullanıcı Microsoft’un bir elemanı olduğuna inandırarak Class3 bir kod imzasını Microsoft adına elde etmeyi başarmış. Bu da pek tabii ki normalde Microsoft’a ait olmayan bir takım kodların sanki Microsoft tarafından dağıtılıyormuş gibi Internet Explorer’da uyarının gelmesi demek. Bu sayede eğer istenirse ActiveX kontrolleriyle ya da MS Office makroları ile bilgisayarınıza girilmesi ya da zarar verilmesi mümkün olmakta. Bu duruma bir aktif içerikli bir web sayfasını ziyaret ederken düşebileceğiniz gibi, üzerinde eklenti bulunan bir mail ile de başınız derde girebilir. Üstelik yapanın imzasında Microsoft yazdığı halde.

Araştırmayı ben de Bruce Schneier blog'unda yayınlayınca farkettim. Araştırmacılar 2004 boyunca MSIE, Firefox ve Opera'daki "bilinen güvensiz" günleri saymışlar, yani bir güvenlik açığının var olup yamasının yayınlanmamış olduğu günleri. MSIE %98 güvensiz çıkmış, yani araştırma senesi boyunca sadece 7 gün bilinen güvenlik açıklarına karşı yamaları mevcut bir gezgin sunabilmişler kullanıcılarına. Firefox %15, Opera ise %17 güvensiz çıkmış. Toplam güvenlik açığı sayılarından daha tutarlı bir yaklaşım...

Olympos.org' da yer alan bu habere göre Internet Explorer' da uzaktan kod çalıştırmaya imkan tanıyan bir açık ortaya çıktı. Açık Internet Explorer'ın HTTP yönlendirmelerini işleyişinde yer alıyor. Uzaktaki bir kullanıcı özel bir HTML yaratarak hedef sistemde yüklendiğinde (Local Comuter zone ayarlarında) istediği kodu çalıştırabiliyor.

İşin asıl önemli noktası açığa bir yama çıkmayışı.
Not: Yamaya yamaya daha nereye kadar?

Editörün Notu: Daha bu sabah sözde Citibank´tan bana bir e-posta geldi, şu adrese girin ve gerekli düzenlemeleri yapın aksi takdirde sisteme erişiminiz engellenecektir şeklinde. E-postayı incelediğimde fantastik bir URL kurgulamış olduklarını gördüm ve kimbilir kaç kişinin Outlook+IE ortamında buna tıklayarak zarar göreceğini düşünerek hayıflandım.

İnsanlar konuşur. Konuşmalarımız, davranışlarımız sonuçlar doğurur ve bu sonuçlar yaşamımızı yönlendirir, gelişmelere zemin hazırlar.

Bilgi güvenliği gibi bir konu her ne kadar teknik gibi gözükse de içerisinde insan ögesi bulunan sosyal yansımaları içeren bir konu. Bilgi güvenliği insanlardan ve onların ürünü olan zararlı kodlardan korunmayı içerdiği bir gerçek. Konu böyle olunca sistemlerini korumak için uğraşan sistem yöneticileri ve diğer yanda yeni zayıflıklar keşfedip yöntemler bulan hackerlar, bir çarkın dişlileri gibi bu endüstrinin gelişimine on ayak oluyorlar. Fakat bazen insanlardan birşeyler öğrenmenin en iyi yolu sistemlerine sizip kritik bilgilerine ulaşmaktan öte bir hal alabiliyor. Onlarla birebir iletişime geçmek ya da zaten göz önünde olan şeyleri incelemek risksiz, saf bilgi akışını kolaylaştiriyor. Bu yönteme ise kısaca “Sosyal Mühendislik” adı veriliyor.