Cansiz
New member
Güvenli Sistemlere Duyulan İhtiyaç
Internetin büyümesiyle birlikte artık bilgisayarlar birbirleri ile daha sık haberleşmeye başladı. Eskiden her bilgisayar okyanustaki bir ada iken, şimdi nerdeyse bir ağ üzerinden bağ gerçekleştirmeyen bilgisayar kalmamıştır. Önceleri ki belkide programcılar için cennet günleriydi, yazılım içindeki bir hata sonucu belkide oluşacak en kötü şey, kaydedilmemiş verinin kaybıydı. Oysa ki şu andaki yazılım hataları sonucu sistemi tamamen bir üçüncü kişiye teslim edebilirsiniz.
Zaman ilerledikçe, bilgisayarlar, kol saatleri, PDA ler, embedded sistemler, televizyonlar, cep telefonları internet üzerinden ( veya özel başka ağlar üzerinden ) diğer araçlarla haberleşmeye başladı. İlk başta yazılımcılar, yepyeni bir pazar, olağanüstü fırsatlar, bir leb-I derya olarak düşündükleri ama biraz işin içine giripte birazda kötü tecrübe yaşandıkça aslında bubi tuzaklarıyla dolu bir sistem olduğunu anladılar.
www nin asıl anlamı world wide web ( dünyayı saran ağ ), burada ironi yaparak, wild wild web ( vahşi vahşi ağ ) denmiştir.
Önemli Not : Hiçbir zaman benim uygulamam, internet ortamında veya ağ ortamında çalışmayacak gibi tahminlerde bulunmayın. Bunun yerine kodunuzun, internetin tam ortasında hatta ateşduvarınında önünde olduğunu düşünün
Aslında güvenli kod yazımı için ilk adım, sistemi dizayn ederken, güvenlik unsurlarınıda düşünerek tasarlamaktır. Önceden güvenlik unsurları düşünülerek tasarlanmış sistemler, sistem bitirildikten sonra güvenlik unsurları katılan sistemlerden her zaman daha güvenli olmuştur. Güvenli tasarım ve güvenli kod her zaman kaliteli sistemlerdir. Kod yazarken kaliteden ödün vermeyin.
Internet üzerinden çalışan sistemler
Genelde güvenlik işiyle uğraşan sistemciler, bir bilgisayarı gizlice internete çıkartıp buna gelen saldırıları bekler ve inceler. Bu tip bilgisayarlara honeypot denir. Buradaki amaç hackerlerin ( lamer vs vs ) hangi yeni yöntemleri denediğini görmektir. Bu konuda ilginç bir örnek Microsoft firmasından şöyle verilmektedir.
Windows 2000 üretilip, piyasa sürülmeden once, henüz test çalışmaları yapılırken honeypot bir sistem kurulmuştur. Microsoft gizlice bir bilgisayara Windows 2000 yükleyip Cuma günü akşam sistemi IIS kurarak nete bağlamıştır, sistem Pazartesi günü çok yoğun atak altındaydı. Sistem kimseye haber verilmemişti !! Peki sistem nasıl keşfedilmişti ?
Devamlı olarak dünyanın birçok yerinden birçok insan, Microsoft firmasının sahip olduğu IP aralığındaki tüm bilgisayarlarda port tarama gerçekleştirir. Bu kişilerde bir tanesi veya muhtemelen çoğu sisteme eklenmiş yeni bilgisayarı hemen keşfettiler. Port taraması sonucunda da 80 nolu port bulununca bunun bir web server olduğu anlaşıldı. HTTP HEAD request kısmını okuyarakda bunun IIS 5 olduğunu ortaya çıkardı, fakat Microsoft firması henüz IIS 5 i piyasaya çıkartmamıştı :O) Daha sonar bu ipyi internet explorer ile ziyaret ettiğinde bunun Tıkla! ( artık adres çalışmıyor :O) ) olduğunu farketti.
Bu kişi daha sonra slashdot.org a bir mail atarak durumu bildirdi. Birkaç saat sonar binlerce atak başlamıştı bile.
Burada dikkat edilmesi gereken nokta, Microsoft firmasını yaptığı tek şey internet ağına bir bilgisayar çıkartmasıydı J . Aynı şey sizinde başınıza gelebilir.
Kabul etmeniz gereken bir nokta var, ataklar var ve hep olacaktır. Bazı kişiler çok fazla bilgi ve yeteneğe sahiptir, çoğunluk ise iyi bir okuyucu ve deneyicidir. En önemlisi bunların çoğunluğunun çok fazla boş vakti vardır. Azınlıktaki kişiler sistemin güvenliği açığını
bulup bir takım araçlar yazarlar, script kiddies denilen yaşları genelde 18 den küçük, bu araçları kullanan kişilerde hemen denemelere başlarlar.
Herkesin hemen herşeyden haberdar olması olayın bir başka dezavantajıdır. Exploit yazıldıktan sonra ( hackerlerin yazdığı araçlar ), hemen tüm script kiddies ler devreye girip dener, siz daha kodunuzun hatasını düzeltme yamasını hazır hale getirmeden , binlerce kişi atağı başlatır.
Peki bir hata yaptınız kodunuzda, bunu düzeltme işlemi ve maliyetini biliyor musunuz ?
İşte Microsof firmasında bir hata bulunduktan sonraki maliyet adımları :
Internetin büyümesiyle birlikte artık bilgisayarlar birbirleri ile daha sık haberleşmeye başladı. Eskiden her bilgisayar okyanustaki bir ada iken, şimdi nerdeyse bir ağ üzerinden bağ gerçekleştirmeyen bilgisayar kalmamıştır. Önceleri ki belkide programcılar için cennet günleriydi, yazılım içindeki bir hata sonucu belkide oluşacak en kötü şey, kaydedilmemiş verinin kaybıydı. Oysa ki şu andaki yazılım hataları sonucu sistemi tamamen bir üçüncü kişiye teslim edebilirsiniz.
Zaman ilerledikçe, bilgisayarlar, kol saatleri, PDA ler, embedded sistemler, televizyonlar, cep telefonları internet üzerinden ( veya özel başka ağlar üzerinden ) diğer araçlarla haberleşmeye başladı. İlk başta yazılımcılar, yepyeni bir pazar, olağanüstü fırsatlar, bir leb-I derya olarak düşündükleri ama biraz işin içine giripte birazda kötü tecrübe yaşandıkça aslında bubi tuzaklarıyla dolu bir sistem olduğunu anladılar.
www nin asıl anlamı world wide web ( dünyayı saran ağ ), burada ironi yaparak, wild wild web ( vahşi vahşi ağ ) denmiştir.
Önemli Not : Hiçbir zaman benim uygulamam, internet ortamında veya ağ ortamında çalışmayacak gibi tahminlerde bulunmayın. Bunun yerine kodunuzun, internetin tam ortasında hatta ateşduvarınında önünde olduğunu düşünün
Aslında güvenli kod yazımı için ilk adım, sistemi dizayn ederken, güvenlik unsurlarınıda düşünerek tasarlamaktır. Önceden güvenlik unsurları düşünülerek tasarlanmış sistemler, sistem bitirildikten sonra güvenlik unsurları katılan sistemlerden her zaman daha güvenli olmuştur. Güvenli tasarım ve güvenli kod her zaman kaliteli sistemlerdir. Kod yazarken kaliteden ödün vermeyin.
Internet üzerinden çalışan sistemler
Genelde güvenlik işiyle uğraşan sistemciler, bir bilgisayarı gizlice internete çıkartıp buna gelen saldırıları bekler ve inceler. Bu tip bilgisayarlara honeypot denir. Buradaki amaç hackerlerin ( lamer vs vs ) hangi yeni yöntemleri denediğini görmektir. Bu konuda ilginç bir örnek Microsoft firmasından şöyle verilmektedir.
Windows 2000 üretilip, piyasa sürülmeden once, henüz test çalışmaları yapılırken honeypot bir sistem kurulmuştur. Microsoft gizlice bir bilgisayara Windows 2000 yükleyip Cuma günü akşam sistemi IIS kurarak nete bağlamıştır, sistem Pazartesi günü çok yoğun atak altındaydı. Sistem kimseye haber verilmemişti !! Peki sistem nasıl keşfedilmişti ?
Devamlı olarak dünyanın birçok yerinden birçok insan, Microsoft firmasının sahip olduğu IP aralığındaki tüm bilgisayarlarda port tarama gerçekleştirir. Bu kişilerde bir tanesi veya muhtemelen çoğu sisteme eklenmiş yeni bilgisayarı hemen keşfettiler. Port taraması sonucunda da 80 nolu port bulununca bunun bir web server olduğu anlaşıldı. HTTP HEAD request kısmını okuyarakda bunun IIS 5 olduğunu ortaya çıkardı, fakat Microsoft firması henüz IIS 5 i piyasaya çıkartmamıştı :O) Daha sonar bu ipyi internet explorer ile ziyaret ettiğinde bunun Tıkla! ( artık adres çalışmıyor :O) ) olduğunu farketti.
Bu kişi daha sonra slashdot.org a bir mail atarak durumu bildirdi. Birkaç saat sonar binlerce atak başlamıştı bile.
Burada dikkat edilmesi gereken nokta, Microsoft firmasını yaptığı tek şey internet ağına bir bilgisayar çıkartmasıydı J . Aynı şey sizinde başınıza gelebilir.
Kabul etmeniz gereken bir nokta var, ataklar var ve hep olacaktır. Bazı kişiler çok fazla bilgi ve yeteneğe sahiptir, çoğunluk ise iyi bir okuyucu ve deneyicidir. En önemlisi bunların çoğunluğunun çok fazla boş vakti vardır. Azınlıktaki kişiler sistemin güvenliği açığını
bulup bir takım araçlar yazarlar, script kiddies denilen yaşları genelde 18 den küçük, bu araçları kullanan kişilerde hemen denemelere başlarlar.
Herkesin hemen herşeyden haberdar olması olayın bir başka dezavantajıdır. Exploit yazıldıktan sonra ( hackerlerin yazdığı araçlar ), hemen tüm script kiddies ler devreye girip dener, siz daha kodunuzun hatasını düzeltme yamasını hazır hale getirmeden , binlerce kişi atağı başlatır.
Peki bir hata yaptınız kodunuzda, bunu düzeltme işlemi ve maliyetini biliyor musunuz ?
İşte Microsof firmasında bir hata bulunduktan sonraki maliyet adımları :
- Yamanın yazılması için gerekli planın yapılmasının maliyeti, birisi çıkıp bir yama planı yapmalıdır.
- Hatalı bölümü bulmak için çalışan uygulama geliştiricilerin maliyeti
- Hata bulunduktan sonra düzeltme işlemini yapan uygulama geliştiricilerin maliyeti
- Yeni haliyle sistemi test eden geliştiricilerin maliyeti
- Yamanın kurulumunu hazırlayan geliştiricilerin maliyeti
- Kurulumun testini hazırlayan grubun maliyeti
- Uluslarası versiyonlar için kurulum ve test maliyeti
- Yamayı web üzerinden post etmenin maliyeti
- Dökümantasyonun hazırlanma maliyeti
- Yamadan dolayı oluşacak kötü izlenim için marketing çalışması maliyeti
- Yama indirilirken oluşan bandwidth maliyeti
- Üretimdeki olası düşüş maliyeti ( bu yama için çalışan kişilerin başka işler yapmasının engellenmesi )
- Müşterilere oluşan maliyet. ( Sistemlerini reboot edebilirler vs )
- Müşterilerin sizden vaçgeçmesi yüzünden oluşan maliyet
