Veritabanı (Database) Nedir ?
Veritabanı, yapılandırılmış bilgi veya verilerin depolandığı alanlardır. Bilgi artışıyla birlikte bilgisayarda bilgi depolama ve bilgiye erişim konularında yeni yöntemlere ihtiyaç duyulmuştur. Veritabanları; büyük miktardaki bilgileri depolamada geleneksel yöntem olan ‘‘dosya-işlem sistemine’’ alternatif olarak geliştirilmiştir. Telefonlardaki kişi rehberi günlük hayatta çok basit bir şekilde kullanılan veri tabanı örneği olarak kabul edilebilir. Bunların dışında internet sitelerindeki üyelik sistemleri, akademik dergilerin ve üniversitelerin tez yönetim sistemleri de veri tabanı kullanımına örnektir. Veritabanları sayesinde bilgilere ulaşılabilir ve onları düzenlenebilir. Veritabanları genellikle bireysel olarak satın alınamayacak kadar yüksek meblağlara sahip olmasına karşın; ücretsiz kullanıma açılan akademik veritabanları da bulunmaktadır. Akademik veritabanları aracılığıyla bazen bibliyografik bilgi bazen de tam metinlere erişmek mümkündür. Veritabanları, veritabanı yönetim sistemleri aracılığıyla oluşturulur ve yönetilir. Bu sistemlere; Microsoft Access, MySQL, IBM DB2, Informix, Interbase, Microsoft SQL Server, PostgreSQL, Oracle ve Sysbase örnek olarak verilebilir.
Veri Tabanı Güvenliği Çözümleri
Veri tabanı risk seviyesi kurumdan kuruma değişiklik göstereceği gibi aynı zamanda içinde saklanan bilginin hassasiyet derecesine de bağlıdır. Kullanıcıların kredi kartı veya kimlik bilgileri gibi kritik verileri tutan kurumlar için veri tabanı güvenliği büyük önem taşımaktadır. Veri tabanlarının bu derece önemli kişisel ve finansal bilgileri tutması bu sistemleri siber saldırıların hedefi haline getirmektedir. Değeri yüksek bilgileri saklaması nedeniyle veri tabanı güvenliği kurumlar için büyük önem arz etmektedir.
Veri tabanlarına yönelik gerçekleştirilen en yaygın ataklara örnek olarak SQL enjeksiyon sayılabilir. SQL enjeksiyon saldırıları veri tabanı veya veri tabanına ara yüz olarak çalışan web uygulamalarını hedef alarak sisteme ulaşmaya çalışmaktadır. Ancak web ara yüzü üzerinden gerçekleştirilen SQL enjeksiyon saldırıları daha yaygın görülmektedir.
SQL açıklıkları kullanıcıdan alınan girdilerin denetlenmeden veri tabanı uygulamasında veya veri tabanını yöneten web uygulamasında çalıştırılmasından kaynaklanmaktadır. SQL enjeksiyon atakları saldırganın veri tabanı üzerindeki hassas bilgilere erişmesini, kullanıcı haklarını yükseltmesini ve database işletim sistemi komutlarına ve veri tabanının kendisine ulaşması gibi tehlikeli işlemleri yapmasına neden olabilmektedir.
Veri tabanlarına yönelik gerçekleştirilen en yaygın ataklara örnek olarak SQL enjeksiyon sayılabilir. SQL enjeksiyon saldırıları veri tabanı veya veri tabanına ara yüz olarak çalışan web uygulamalarını hedef alarak sisteme ulaşmaya çalışmaktadır. Ancak web ara yüzü üzerinden gerçekleştirilen SQL enjeksiyon saldırıları daha yaygın görülmektedir.
SQL açıklıkları kullanıcıdan alınan girdilerin denetlenmeden veri tabanı uygulamasında veya veri tabanını yöneten web uygulamasında çalıştırılmasından kaynaklanmaktadır. SQL enjeksiyon atakları saldırganın veri tabanı üzerindeki hassas bilgilere erişmesini, kullanıcı haklarını yükseltmesini ve database işletim sistemi komutlarına ve veri tabanının kendisine ulaşması gibi tehlikeli işlemleri yapmasına neden olabilmektedir.
Veritabanları Nasıl Korunur ?
Veri Şifreleme;Şifreleme veri güvenliğinin yapıtaşıdır. Bilgiler veya veriler internet üzerinden paylaşıldığında, genel internetin bir parçasını oluşturan dünya çapında bir dizi ağ cihazı üzerinden geçer. Veriler genel internet üzerinde dolaşırken, korsanlar tarafından ele geçirilebilme veya çalınabilme ihtimali söz konusudur. Bunu önlemek için kullanıcılar, verilerin veya bilgilerin güvenli bir şekilde aktarılmasını sağlamak için belirli yazılımlar veya donanımlar kullanabilir. Ağ güvenliğinde bu işlemler şifreleme olarak bilinir.
Şifreleme, insan tarafından okunabilen düz metinleri şifreli metin olarak bilinen anlaşılmaz metinlere dönüştürmektir. Bu, okunaklı verileri alıp rastgele bir görünüme bürünecek şekilde değiştirmek anlamına gelir. Şifrelemede, gönderen ve alıcı tarafından kabul edilen bir dizi matematiksel değer, yani bir şifreleme anahtarı kullanılır. Alıcı, verilerin şifresini çözmek için bu anahtarı kullanır, böylece veriler tekrar okunabilir düz metne dönüştürülür.
Şifreleme anahtarı ne kadar karmaşık olursa şifreleme o kadar güvenli olur; çünkü üçüncü tarafların kaba kuvvet saldırıları (yani doğru kombinasyon tahmin edilene kadar rastgele numaraları deneme) yoluyla şifreleri çözme olasılığı daha düşüktür.
Şifreleme, parolaları korumak için de kullanılır. Parola şifreleme yöntemleri parolanızı şifreler ve korsanlar tarafından okuyamayacak bir hale getirir.
Şifreleme, insan tarafından okunabilen düz metinleri şifreli metin olarak bilinen anlaşılmaz metinlere dönüştürmektir. Bu, okunaklı verileri alıp rastgele bir görünüme bürünecek şekilde değiştirmek anlamına gelir. Şifrelemede, gönderen ve alıcı tarafından kabul edilen bir dizi matematiksel değer, yani bir şifreleme anahtarı kullanılır. Alıcı, verilerin şifresini çözmek için bu anahtarı kullanır, böylece veriler tekrar okunabilir düz metne dönüştürülür.
Şifreleme anahtarı ne kadar karmaşık olursa şifreleme o kadar güvenli olur; çünkü üçüncü tarafların kaba kuvvet saldırıları (yani doğru kombinasyon tahmin edilene kadar rastgele numaraları deneme) yoluyla şifreleri çözme olasılığı daha düşüktür.
Şifreleme, parolaları korumak için de kullanılır. Parola şifreleme yöntemleri parolanızı şifreler ve korsanlar tarafından okuyamayacak bir hale getirir.
Bazı şifreleme algoritmaları
DES şifreleme
DES, Veri Şifreleme Standardı anlamına gelir. Bu, günümüzdeki kullanımlara uygun olmayan, artık modası geçmiş bir simetrik şifreleme algoritmasıdır. Bu nedenle yerini diğer şifreleme algoritmalarına bırakmıştır.
3DES algoritması
3DES, Üçlü Veri Şifreleme Standardı anlamına gelir. Bu bir simetrik anahtar algoritmasıdır ve şifreleme işlemi sırasında veriler orijinal DES algoritmasından üç kez geçtiği için “üçlü” olarak ifade edilir. Üçlü DES de yavaş yavaş gündemden düşse de, hala finansal hizmetler ve diğer endüstriler için güvenilir bir donanım şifreleme çözümü sunmayı başarıyor.
RSA şifreleme
RSA, ilk halka açık asimetrik şifreleme algoritmasıdır. RSA, anahtar uzunluğu nedeniyle popülerdir ve bu nedenle güvenli veri aktarımı için yaygın olarak kullanılmaktadır. RSA kısaltması, bu algoritmayı ilk tanımlayan matematikçilerin soyadları olan Rivest, Shamir ve Adleman'ın baş harflerinden oluşur. RSA, çift anahtar kullandığı için asimetrik bir algoritma olarak kabul edilir.
DES, Veri Şifreleme Standardı anlamına gelir. Bu, günümüzdeki kullanımlara uygun olmayan, artık modası geçmiş bir simetrik şifreleme algoritmasıdır. Bu nedenle yerini diğer şifreleme algoritmalarına bırakmıştır.
3DES algoritması
3DES, Üçlü Veri Şifreleme Standardı anlamına gelir. Bu bir simetrik anahtar algoritmasıdır ve şifreleme işlemi sırasında veriler orijinal DES algoritmasından üç kez geçtiği için “üçlü” olarak ifade edilir. Üçlü DES de yavaş yavaş gündemden düşse de, hala finansal hizmetler ve diğer endüstriler için güvenilir bir donanım şifreleme çözümü sunmayı başarıyor.
RSA şifreleme
RSA, ilk halka açık asimetrik şifreleme algoritmasıdır. RSA, anahtar uzunluğu nedeniyle popülerdir ve bu nedenle güvenli veri aktarımı için yaygın olarak kullanılmaktadır. RSA kısaltması, bu algoritmayı ilk tanımlayan matematikçilerin soyadları olan Rivest, Shamir ve Adleman'ın baş harflerinden oluşur. RSA, çift anahtar kullandığı için asimetrik bir algoritma olarak kabul edilir.
SQL Injection Nedir ve Nasıl Korunulur ?
Kurumunuza ait veriyi korumak, kurumsal verinin bütünlüğünü sağlamak için altyapınızı bu zafiyete karşı korumalısınız.
ABD’de bulunan Açık Web Uygulama Güvenliği Projesi (OWASP) Vakfı tarafından her sene siber güvenlik tehdidi olarak yılın top 10 listesi yayımlanmaktadır. 2020 yılında üçüncü sırada listelenen SQL injection, web sitesi güvenlik açıkları arasında saldırganların en çok tercih ettiği siber saldırı yöntemlerinden biridir.
SQL injection nedir diye soracak olursanız, web uygulamasının yaptığı SQL sorgusuna müdahale edilerek veri tabanında bulunan verilere yetkisiz erişme yöntemi cevabı uygun olacaktır. Bu güvenlik açığı, normalde görülmesi imkânsız verilerin görüntülenmesine izin verir.
Bir müşteri sisteme girerken kendi kullanıcı adı ve şifresini vererek, giriş izni alır. Bu izin sadece kendi verilerini görmeye yetki verir. SQL injection yönteminde ise bir saldırgan bununla birlikte diğer kullanıcıların ve web uygulamasının diğer verilerine erişebilir. Buradaki SQL injection açığı ile saldırgan verileri transfer edebilir, değiştirebilir, silebilir. Yani eriştiği tüm verileri manipüle edebilir hale gelir.
Web tabanlı uygulamalarda karşımıza çıkan bu güvenlik açığı, veri hırsızlarının başvurduğu en temel yöntemlerden biridir. Bir web sitesinde herhangi bir form doldururken, arka planda veri tabanına bir SQL sorgusu iletilir. Burada veri tabanı ile bir iletişim sağlanır. Birazdan bahsedilecek güvenlik önlemleri alınmamış ise aynı iletişim kanalından farklı bir SQL sorgusu ile veri tabanı manipülasyona açık hale gelmiş olur. SQL injection açığı denilen bu durumda kolaylıkla verileriniz başka yere transfer edilir.
Konuyu daha iyi anlamak için SQL nedir sorusunun cevabını öğrenerek devam edebilirsiniz. SQL, Structured Query Language kelimelerinin baş harflerinden oluşur. Türkçe ifadesiyle yapılandırılmış sorgu dili olan SQL; MySQL, MSSQL, Oracle gibi veri tabanlarından veri çekmeye ve işlemeye yardımcı olan bir sorgulama dilidir. Bu sayede veri tabanı tablolarında var olan veri hakkında anlaşılır bilgiler elde edersiniz. Bunun yanında mevcut veride değişiklik yaparsınız.
Örneğin, bir müşterinin sistemde kayıtlı cep telefonu numarasını öğrenmek için web uygulamasına giriş yaptığınızda, arka planda cep telefonu bilgisi için veri tabanında SQL sorgusu çalışır. SQL sayesinde verinin ne olduğu, veri giriş-çıkışı, veriden anlamlı bilgiler üretme işlemleri kolaylıkla yapılmış olur.
ABD’de bulunan Açık Web Uygulama Güvenliği Projesi (OWASP) Vakfı tarafından her sene siber güvenlik tehdidi olarak yılın top 10 listesi yayımlanmaktadır. 2020 yılında üçüncü sırada listelenen SQL injection, web sitesi güvenlik açıkları arasında saldırganların en çok tercih ettiği siber saldırı yöntemlerinden biridir.
SQL injection nedir diye soracak olursanız, web uygulamasının yaptığı SQL sorgusuna müdahale edilerek veri tabanında bulunan verilere yetkisiz erişme yöntemi cevabı uygun olacaktır. Bu güvenlik açığı, normalde görülmesi imkânsız verilerin görüntülenmesine izin verir.
Bir müşteri sisteme girerken kendi kullanıcı adı ve şifresini vererek, giriş izni alır. Bu izin sadece kendi verilerini görmeye yetki verir. SQL injection yönteminde ise bir saldırgan bununla birlikte diğer kullanıcıların ve web uygulamasının diğer verilerine erişebilir. Buradaki SQL injection açığı ile saldırgan verileri transfer edebilir, değiştirebilir, silebilir. Yani eriştiği tüm verileri manipüle edebilir hale gelir.
Web tabanlı uygulamalarda karşımıza çıkan bu güvenlik açığı, veri hırsızlarının başvurduğu en temel yöntemlerden biridir. Bir web sitesinde herhangi bir form doldururken, arka planda veri tabanına bir SQL sorgusu iletilir. Burada veri tabanı ile bir iletişim sağlanır. Birazdan bahsedilecek güvenlik önlemleri alınmamış ise aynı iletişim kanalından farklı bir SQL sorgusu ile veri tabanı manipülasyona açık hale gelmiş olur. SQL injection açığı denilen bu durumda kolaylıkla verileriniz başka yere transfer edilir.
Konuyu daha iyi anlamak için SQL nedir sorusunun cevabını öğrenerek devam edebilirsiniz. SQL, Structured Query Language kelimelerinin baş harflerinden oluşur. Türkçe ifadesiyle yapılandırılmış sorgu dili olan SQL; MySQL, MSSQL, Oracle gibi veri tabanlarından veri çekmeye ve işlemeye yardımcı olan bir sorgulama dilidir. Bu sayede veri tabanı tablolarında var olan veri hakkında anlaşılır bilgiler elde edersiniz. Bunun yanında mevcut veride değişiklik yaparsınız.
Örneğin, bir müşterinin sistemde kayıtlı cep telefonu numarasını öğrenmek için web uygulamasına giriş yaptığınızda, arka planda cep telefonu bilgisi için veri tabanında SQL sorgusu çalışır. SQL sayesinde verinin ne olduğu, veri giriş-çıkışı, veriden anlamlı bilgiler üretme işlemleri kolaylıkla yapılmış olur.
SQL Injection Nasıl Engellenir?
Firewall şirketlerinin IT departmanlarında Kasım 2017 ila Mart 2019 arasında toplanan verilere göre her üç siber saldırıdan ikisinin SQL injection yöntemine ait olduğu görülüyor. Hackerların en çok tercih ettiği bu saldırı karşısında bir takım önlemler almanız mümkün. İşte karşınızda SQL injection nasıl engellenir sorusunun cevabı:
- Bilgi teknolojileri altyapınızda fiziksel cihazlarınkiler dâhil tüm yazılımların güncel olmasına dikkat edin.
- Web uygulamanızdaki tüm formlarda ben robot değilim doğrulamasını sağlayın.
- Uygulama kullanıcılarına çift faktörlü giriş yapmalarını zorlayın.
- Web uygulaması üzerinde gerçekleşen şüpheli sorguları ve istekleri analiz edebilen web tabanlı bir firewall (WAF) yazılımını devreye alın.
- Uygulamanızın arka planda sorduğu soruları gözden geçirin. Özellikle NULL karakterlerin yer aldığı sorguları tekrar düzenleyin.
- Sisteminizdeki kullanıcıları gözden geçirin. Yönetici ve tam yetkili rolündeki kullanıcı adlarında ‘administrator’, ‘admin’, ‘yönetici’ gibi akla gelebilecek kullanıcıları devre dışı bırakın. Ayrıca yetkili rolündeki kullanıcı adlarının gerçek isim veya uygulama ismi olmasına dikkat edin.
- Uygulamanın hızlı olması için kullanılan sorgu dizesi birleştirme yöntemi her zaman iyi fikir olmayabilir. Mümkün mertebe bu dize birleştirmelerden uzak durun veya bu sorguyu yetkiye bağlayın.
- IT altyapınız üzerinde yapılan tüm hareketleri merkezi log toplama veri tabanında toplayın. Şüpheli işlemler için anlık alarm tanımlayın ve yetkili kullanıcıya e-posta gönderimi sağlayın.
