İPUCU

Web & Server Güvenliği Doğru web ve veritabanı sunucusu güvenliği sağlanmadan, bilgisayar korsanları hassas verilerinize erişebilir. Web, Sunucu ve veritabanı güvenliğini nasıl sağlayacağınızı buradan öğrenebilirsiniz.

Seçenekler

Temel güvenlik yanılmaları !

04-07-2013 15:22
#1
ALcatraz' - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
05/2013
Nereden:
İstanbul
Mesajlar:
4.269
Teşekkür (Etti):
968
Teşekkür (Aldı):
1755
Konular:
1022
Ticaret:
(0) %
MODERN ÇAĞIN MİTLERİ

Web yöneticileri ve İnternet kullanıcıları hala bir takım 'myth'lere inanıyor.


Hackerların, bir tarayıcı penceresini ve birkaç küçük iş hilesini kullanarak, bir Web sayfasına ait veritabanlarına(kredi kartı bilgileri dahil) ulaşabildiği, bu veritabanlarının kopyasını alabildiği veya veritabanlarını tamamen silebildiği bir ortamda, Web yöneticileri ve Internet kullanıcıları halen daha bir takım 'myth'lere(yanılgılara) inanıyor.

Günümüzde standard hal alan güvenlik duvarları(firewall) ve yama yönetimi(patch management) uygulamaları ile r0;networkr1; (ağ güvenliği) çok güvenli bir hal amıştır. Her zaman bir adım önde olmayı hedefleyen hackerlar ise, web sayfalarının kendisine -yani uygulama (kod, veritabanı, sunucu) tarafına- yönelmişlerdir. Uluslararası araştırma kurumlarının araştırmaları da bu sonucu doğrulamaktadır. Bugün, yapılan her beş saldırının dört tanesi web uygulamalarını hedef almaktadır Peki web yoneticilerinin ve kullanıcılarının ne yaplamarı bekleniyor? Web sayfalarının güvenliğini artırmak için, aşağıda verilen beş büyük yanlış inanıştan kaçınmak gerekiyor.

1. "Web sayfası SSL kullanıyor, o zaman güvenlidir."

Kendi başına SSL, bir Web sitesini güvenli kılmaz. Web sitelerinin, sayfaların alt kısımlarına koydukları SSL (küçük kilit) logoları, kullanıcı oturumundaki veri aktarımının uygun şifrelendiğini (encryption) gösterir. SSL, bilgi akışından sonra sayfada saklanan veriyi korumaz. Daha doğrusu; SSL'in, kullanıcı bilgilerinin web sayfalarının veritabanlarında saklanması ile uzaktan yakından ilgisi yoktur. Kişisel bilgiler, veritabanına işlendikten sonra, risk data akışında değil server'dadır. Bu yüzden hackerlar, aradaki veri akışının şifrelenip şifrelenmemesini umursamazlar bile. Onlar için asıl yol, web sayfalarda yer alan kod açıklarından veritabanlarına ve sunuculara erişmek, burada yer alan kullanıcı bilgilerini elde etmektir.

2. "Firewall(Güvenlik Duvarı) Web sitesini koruyor, o zaman sayfa güvenlidir."

Güvenlik duvarları, bir sayfaya yönelen trafiği kontrol ederler ama sayfayı kötü niyetli kod saldırılarından koruma yeterlilikleri yoktur. Bu yüzden; firewall ile korudukları serverlarda yer alan web sayfalarında, web uygulamalarını yoğunlukla kullanan e-ticaret firmaları, bankalar ve başta büyük sanayi kuruluşları olmak üzere e-business süreçleri olan tüm kurumlar saldırılara karşı güvensiz kalıyorlar. Geleneksel ağ güvenliği mantığıyla, r0;iyi trafiğe izin ver, kötüsüne izin vermer1; yolunu izleyen firewall eirişim-kontrol listeleri(ACLs) bir ağdan geçen herşeyi engelleyerek, sadece bir kısım activiteye(Web, e-mail) izin verebilir. Bunun dışındaki tüm trafik firewall tarafından bloke edilir. Hacker tarayıcı satır çubuğundan normal bir kullanıcının sayfayı ziyaret etmesi gibi girer, bu durumda firewall'un bir anlamı kalmaz.

3. "Vulnerability Scanner (Zaafiyet Tarayıcı) herhangi bir güvenlik açığı raporlayamadı, o zaman web sayfası güvenlidir."

Doksanların başından beri kullanılan ve r0;Vulnerability Scannerr1; adıyla anılan araçlar, çok bilinen bir kısım ağ güvenliği açıklarını ortaya çıkarırlar. Bununla birlikte, Web server'da çalışan, açıklarla dolu Web uygulamalarındaki zaafiyetleri tesbit edemezler. Güncel bir zaafiyet tarayıcı, ağ güvenliği açıkları kapsamında önceden bilinen zaafiyetlerin yüzde doksanlık bir kısmını raporlayabilir, ancak uygulama güvenliği konusunda, örneğin bir web sayfasının kendine özgü kodlaması ile ilgili, önceden bilinen standart açıklardan söz edilemez.

4. "Web uygulama güvenliği yazılım geliştiricilerin bir problemidir."

Web sayfasının yazılımını yapan kişinin veya ekibin muhakkak problemde payı vardır ama uygulama güvenliği risklerini ortaya çıkaran birçok faktör onların kontrolü dışında gerçekleşmektedir. Mesela, kaynak kod yazılırken dışardaki sistemlerden alınmış olabilir ve dışardan sağlanan kod ile sonradan geliştirilen / değiştirilen kod birbirine karışmış olabilir. Hatta yazılım geliştiriciler örnek kod veya açık kod kullanabilirler. Yani, bir yazılım projesi için üretilen kod tabanının tek olduğu veya birbirine karışan kodların güvenli olup olmadığı hiç bir zaman kesin değildir. Mesela iki yazılımcının ayrı ayrı geliştirdiği iki yazılım kendi başlarına çok güvenli olabilirler. Ancak ikisi birer modül gibi birbirine veya ortak bir projeye entegre edilirse, olası bir güvenlik açığı riski çok daha fazladır. Düşündüğümüzde on binlerce satırlık, onlarca modüllük bir projede ortak bir tabandan bahsetmek imkansızdır. Bu da sistemin, güvenlik açığı verme riskini fazlasıyla artırmaktadır.

Yazılım geliştiren ekibin secure coding (güvenli kod yazmak) konusunda eğitilmesi uygulama güvenliğinin sağlanması konusunda ciddi bir adım olacaktır.

5. "Web sayfamız her sene güvenlik değerleme testlerine tabi tutuluyor, o zaman güvenlidir."

Web sayfası kodlarınındaki sürekli güncellenme ihtiyacı, en güncel güvenlik değerlendirme raporlarının(security assessment report) bile doğruluğu hakkında akıllarda soru işaretleri bırakıyor.

Uygulama güvenliği süreci - her ne kadar daha sık gözden geçirme veya denetlemeleri gerektirse de - web sayfaları yılda bir veya en erken altı ayda bir değerlendirme testlerine tabi tutuluyor. Oysa web sayfasına eklenen her yeni uygulamada sayfada kod açığı oluşma riski artar.

Mesela sevgililer günü, ramazan bayramı veya yılbaşı gibi özel günlerde, e-mağazalarına ait web sayfaların sürekli güncellenmesi için çaba harcayan teknik ekip görev yoğunluğu nedeniyle, güvenliği ikinci plana atabilmektedir. Bu tarihlerde, web sayfalarında yeni eklenebilecek ürünler, özellikler, kampanyalar vs. ile ilgili acil guncellemeler gerekmektedir ve bu yogunluk esnasında güvenlik kaygıları umursanmayabilir. Yeni eklenen kodlar güvenlik açıklarıyla dolu olabilir. Ve yılda bir yapılan denetlemeler bu açıkları buluncaya kadar, Web sayfaları çok büyük riskler taşıyabilir.

Özetle ;

Yılda bir defa denetleme yapılarak, vulnerability scanner adı verilen çeşitli araçlarla ağ taranarak veya gereksiz yere firewall'lara, SSL'lere onbinlerce dolar harcanarak sağlanan güvenlik çoğu hacker için hiçbir anlam ifade etmez. Bu şekilde yapılan yanlış yatırımlarla Web sayfalarının güvenliği sağlanamaz.

Tüm bu saydığımız nedenlerle, güvenlik profesyonelleri projelerin tüm aşamalarında görev almalıdırlar. Firmalar, güvenlik konusunda yetkin personel sıkıntısı çekmeleri durumunda ise, web sitelerinin güvenliğini, güvenlik danışmanlığı firmalarına outsource etmelidirler.
Kullanıcı İmzası
En çok ne zoruma gidiyor biliyor musun? "Ülkem" diye kaydetmiştin beni telefonuna. Kalbimi parçalara ayırdın, hani vatan bölünmezdi?

Yokluğun bilinç altımdayken , varlığın kimin altında merak ediyorum.
PoYRaZ001, Unauthorized, By Janke Teşekkür etti.

04-07-2013 15:25
#2
PoYRaZ001 - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
07/2012
Nereden:
ERZURUM
Mesajlar:
1.265
Teşekkür (Etti):
32
Teşekkür (Aldı):
128
Konular:
56
Ticaret:
(0) %
ellerne sağlık
Kullanıcı İmzası
Gerçek hayatta artistlik yapanın , Sanal alemde affı kabul olmaz . . .!! (Resaator)






HTML=%100
PHP=%80
09-07-2013 03:18
#3
DrUltra - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
07/2013
Nereden:
Nereye...
Mesajlar:
279
Teşekkür (Etti):
1
Teşekkür (Aldı):
15
Konular:
9
Ticaret:
(0) %
Teşekkürler Ellerine sağlık
09-07-2013 14:18
#4
By Janke - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
05/2013
Nereden:
İzmir
Mesajlar:
154
Teşekkür (Etti):
15
Teşekkür (Aldı):
1
Konular:
10
Ticaret:
(0) %
ellerine sağlık

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı