|
| Gönderen | Mesaj |
|
6 Mayıs 2007 Pazar
15:15:33
|
|
|
Internet Savaş Alanı ve Silahlar
Güvensiz Bir Ortam: Internet
Bilgisayar dünyasında belirsizlik ve gizlemeyle güvenlik ilkesi (security by obscurity) yıllarca süre gelen bir ilke olmuştur. Bu ilke hiç konuşmazsanız her şey iyi olur, saklanırsanız belki saldırganlar sizi bulamayacaklardır ve teknoloji çok karmaşık olduğu için güvendesiniz gibi prensiplere sahiptir. Bu prensiplerin tamamen yanlış olduğu söylenemez ancak güvenlik konusunun açık tartışma ve eğitimle gelişeceği de bir gerçektir.
Kısacası bu ilkeye göre güvenlik konusunda tamamen duyarsız olarak güvenlik açıklarını hiç açıklamazsanız ve kaydını tutmazsanız kötü niyetli kişilerin de bunlardan haberdar olması zorlaşacaktır ve kendinizi güvende hissedeceksiniz. Ancak sizin bazı sorunları saklamanız bunlardan kurtulduğunuz anlamına gelmemeli. Bilinki sorunlar ordadır ve siz istesenizde istemesenizde birgün birileri sakladığınız, göz ardı ettiğiniz bu noktaları yakalayacaklardır! İşte o zaman içine düştüğünüz durumda sadece karşıdaki kişileri suçlamak yanlış olur bence. Benim fikrime göre Security by Obscurity ilkesi aslında tamamen olmasada tek başına uygulanmaması gereken bir ilkedir. Tabiki bir açık hakkında ne kadar çok az kişinin bilgi sahibi olması çok kişinin bilgi sahibi olması ve kötü amaçlarla kullanmasından iyidir. Ancak bu açıkları kendi halinde bırakmak ta doğru değildir. Sistemleri daha da geliştirmek için bu sorunların açığa çıkarılması ve firmaların çok kısa sürede bunlara cevap vermesi gerekmektedir. Diğer yandan bir açığı bir kişinin yada binlerce kişinin bilmesi aslında o kadar da farklı şeyler değildir zira bir sisteme girip herşeyi altüst etmek için tek bir kişi bile yeterlidir!
Internetin güvensiz oluşunun bir sürü nedenleri vardır.
Yetersiz Eğitim: Eğitim internette güvenliğinde en başta gelen konulardan birisidir. Bilmediğiniz bir konunun size zarar vermeyeceğini düşünmek yanlıştır hele hele özellikle bir internet sunucusu çalıştırıyorsanız.
CERT belkide internetin en ünlü güvenlik organizasyonudur. CERT güvenlik uyarıları ve tavsiyeleri üreterek internet dünyasına yayınlar. 1988`de ARPA tarafından kurulan CERT koordinasyon merkezi en son bilinen güvenlik açıklarıyla ilgili raporlar yayınlamakta ve kurulduğu tarihten sonra çok hızlı bir gelişme kaydederek dünyada değişik noktalarda merkezler açmıştır. CERT merkezine http://www.cert.org/ adresinden ulaşabilirsiniz.
CERT sayfası düzenli olarak takip edilmesi değişik sistemlerde ve değişik platformlarda bulunan en son açıklarından ve bunlardan kurtulma yollarından en kısa zamanda haberdar olmanızı sağlayacaktır.
Internetin Tasarımı: Internette bir işi yapmanın bir çok yolu ve her yol içinde kullanılabilecek bir çok protokol mevcuttur. Örnek olarak internetten bir dosya indirmek için FTP programını kullanabilirsiniz. Eğer FTP`de sorun varsa HTTP`yi kullanabilirsiniz , Telnet tabanlı BBS sistemlerini yada artık kullanılmayan ancak çok güçlü bir protokol olan Gopher`ı kullanabilirsiniz.
Internet heterojen bir sistemdir, zaten bu hayallerle açık olarak geliştirilmiş bir sistemdir. Asıl problem internetin tasarımından gelmektedir. Internetteki hemen hemen tüm servisler istemci/sunucu modeline göre çalışmaktadır. Bunun sonucu olarak Cracker`lar için yapılacak bir iş kalıyor; gidip bu sunucuları crack etmek!
Ancak bu modelin yakın bir zamanda değişeceği pek beklenemez çünkü istemci/sunucu modeli etkin bir şekilde kullanılmaktadır ve yerini alacak alternatif bir yöntem de yoktur.
Internetin tasarımı kişilerin kendilerini nette belli bir seviyeye kadar gizlemesine izin verir. Bunun iyi yönleri olduğu kadar kötü yanları da vardır. İyi tarafı kimliklerini gizleyerek haberleşmek isteyenler internette bunu yapabilirler.
Çoğu insan kimliklerini gizliyerek haberleşmek için remailer programlarını (anonymous remailer) kullanırlar. Internette e-postaları alıp belli bir adrese yönlendiren sunucular vardır. Bu işlem sırasında e-postanın başlık kısmındaki gönderici kişinin bilgileri ve IP adresi silinir ve remailer sunucusunun adres bilgisi yazılır. Böylece mesajı gönderen kişi kendini gizlemiş olur. Internette kendini gizlemek isteyenlerin politik nedenlerden tutunda illegal işlere kadar kullanılır bir çok değişik nedeni olabilir. Anon remailer`lar genellikle casuslar için yararlı olabilir ancak nette kendini gizleme olayının güvenlik açısından gerçek bir problem oluşturacağını kabul etmek zordur.
Bilindiği gibi internette Carnivore gibi e-posta izleyici sistemler vardır. Carnivore FBI`ın Amerika`da ISS`lere yükleyerek çalıştırdığı ve tüm e-posta trafiğini kontrol eden bir sistemdir. (Aslında Carnivore`un piyasada bedava olarak bulunabilecek sniffer programlarından pek bir farkı yoktur. Yaptığı şey bir ağ üzerinde geçen tüm e-posta paketlerini toplamak ve ne dönüp bittiğini takip etmektir.) işte bu sistemler gelen ve giden mesajların başlık kısmını okuyarak kimden geldiğini tespit etmektedirler. Ancak anon remailer`lar sayesinde kullanıcılar kendilerini tamamen gizleyebilirken yada çeşitli şifreleme programlarıyla mesajlarını şifrelerken bu gibi sistemlere ne kadar güvenmek gerekir o da bir tartışma konusu. Düşünün biri sizin e-posta hesabınızla bir cracker haber grubuna mesajlar atıyor (bunu yapmak o kadarda zor değil...) ve FBI mesajı atan kişiyi değilde sizi takip etmeye başlıyor!!!
Firmaların kendilerine has özel tasarımları: Bazı ticari firmalar internette sadece kendilerine özel olarak geliştirdikleri sistemlerle ticari olarak kazanç sağlamayı düşünmektedirler. Bu şekilde internetin herkese eşit olarak sunduğu bazı servislerlerden artık herkes değilde sadece hitap ettiği kesim yararlanır duruma gelmiştir. Ayrıca bu sistemler internete ek güvenlik açıkları meydana getirmektedir. Bunların içinde en önemli olarak ActiveX teknolojisinden bahsedebiliriz. ActiveX Microsoft`un kendine özel olarak geliştirdiği bir teknolojidir. ActiveX teknolojisi şimdilik sadece Internet Explorer gezgini tarafından desteklenmekte. Ancak Microsoft HTML`e ActiveX uzantılarını eklemek için uğraşıyorsa da bu gibi teknolojiler internet güvenliğinde çok fazla etki yapmaktadırlar. Teknolojilerin bu özelliği onların güvenlik uzmanları tarafından incelenmesini zorlaştırmaktadır.
Bu alanda Netscape`in JavaScript`i ve Microsoft`un VBScript ve ActiveX teknolojisi savaş halindedir. Ancak bu iki teknolojininde aslında gerekli ve vazgeçilmez olduğu aşikardır. Microsoft masa üstünde lider konumdayken Netscape`te UNIX alanında ürünler sunmaya devam edecektir.
İnsan Doğası: Internet güvenliğini zayıflatan en önemli etken insan doğasıdır. İnsanlar doğal olarak tembel yaratıklardır ve çoğu kullanıcı internet ve bilgisayar
|
|
Mesaja cevap yazmak için gruba üye olmanız gerekmektedir.
|