Temel Güvenlik Yanılgıları

[SahiL]

Hackerlarin, bir tarayici penceresini ve birkac kucuk is hilesini kullanarak, bir Web sayfasina ait veritabanlarina(kredi karti bilgileri dahil) ulasabildigi, bu veritabanlarinin kopyasini alabildigi veya veritabanlarini tamamen silebildigi bir ortamda, Web yoneticileri ve Internet kullanicilari halen daha bir takim 'myth'lere(yanilgilara) inaniyor.

Gunumuzde standard hal alan guvenlik duvarlari(firewall) ve yama yonetimi(patch management) uygulamalari ile r0;networkr1; (ag guvenligi) cok guvenli bir hal amistir. Her zaman bir adim onde olmayi hedefleyen hackerlar ise, web sayfalarinin kendisine -yani uygulama (kod, veritabani, sunucu) tarafina- yonelmislerdir. Uluslararasi arastirma kurumlarinin arastirmalari da bu sonucu dogrulamaktadir. Bugun, yapilan her bes saldirinin dort tanesi web uygulamalarini hedef almaktadir Peki web yoneticilerinin ve kullanicilarinin ne yaplamari bekleniyor? Web sayfalarinin guvenligini artirmak icin, asagida verilen bes buyuk yanlis inanistan kacinmak gerekiyor.

1. "Web sayfasi SSL kullaniyor, o zaman guvenlidir."

Kendi basina SSL, bir Web sitesini guvenli kilmaz. Web sitelerinin, sayfalarin alt kisimlarina koyduklari SSL (kucuk kilit) logolari, kullanici oturumundaki veri aktariminin uygun sifrelendigini (encryption) gosterir. SSL, bilgi akisindan sonra sayfada saklanan veriyi korumaz. Daha dogrusu; SSL'in, kullanici bilgilerinin web sayfalarinin veritabanlarinda saklanmasi ile uzaktan yakindan ilgisi yoktur. Kisisel bilgiler, veritabanina islendikten sonra, risk data akisinda degil server'dadir. Bu yuzden hackerlar, aradaki veri akisinin sifrelenip sifrelenmemesini umursamazlar bile. Onlar icin asil yol, web sayfalarda yer alan kod aciklarindan veritabanlarina ve sunuculara erismek, burada yer alan kullanici bilgilerini elde etmektir.

2. "Firewall(Guvenlik Duvari) Web sitesini koruyor, o zaman sayfa guvenlidir."

Guvenlik duvarlari, bir sayfaya yonelen trafigi kontrol ederler ama sayfayi kotu niyetli kod saldirilarindan koruma yeterlilikleri yoktur. Bu yuzden; firewall ile koruduklari serverlarda yer alan web sayfalarinda, web uygulamalarini yogunlukla kullanan e-ticaret firmalari, bankalar ve basta buyuk sanayi kuruluslari olmak uzere e-business surecleri olan tum kurumlar saldirilara karsi guvensiz kaliyorlar. Geleneksel ag guvenligi mantigiyla, r0;iyi trafige izin ver, kotusune izin vermer1; yolunu izleyen firewall eirisim-kontrol listeleri(ACLs) bir agdan gecen herseyi engelleyerek, sadece bir kisim activiteye(Web, e-mail) izin verebilir. Bunun disindaki tum trafik firewall tarafindan bloke edilir. Hacker tarayici satir cubugundan normal bir kullanicinin sayfayi ziyaret etmesi gibi girer, bu durumda firewall'un bir anlami kalmaz.

3. "Vulnerability Scanner (Zaafiyet Tarayici) herhangi bir guvenlik acigi raporlayamadi, o zaman web sayfasi guvenlidir."

Doksanlarin basindan beri kullanilan ve r0;Vulnerability Scannerr1; adiyla anilan araclar, cok bilinen bir kisim ag guvenligi aciklarini ortaya cikarirlar. Bununla birlikte, Web server'da calisan, aciklarla dolu Web uygulamalarindaki zaafiyetleri tesbit edemezler. Guncel bir zaafiyet tarayici, ag guvenligi aciklari kapsaminda onceden bilinen zaafiyetlerin yuzde doksanlik bir kismini raporlayabilir, ancak uygulama guvenligi konusunda, ornegin bir web sayfasinin kendine ozgu kodlamasi ile ilgili, onceden bilinen standart aciklardan soz edilemez.

4. "Web uygulama guvenligi yazilim gelistiricilerin bir problemidir."

Web sayfasinin yazilimini yapan kisinin veya ekibin muhakkak problemde payi vardir ama uygulama guvenligi risklerini ortaya cikaran bircok faktor onlarin kontrolu disinda gerceklesmektedir. Mesela, kaynak kod yazilirken disardaki sistemlerden alinmis olabilir ve disardan saglanan kod ile sonradan gelistirilen / degistirilen kod birbirine karismis olabilir. Hatta yazilim gelistiriciler ornek kod veya acik kod kullanabilirler. Yani, bir yazilim projesi icin uretilen kod tabaninin tek oldugu veya birbirine karisan kodlarin guvenli olup olmadigi hic bir zaman kesin degildir. Mesela iki yazilimcinin ayri ayri gelistirdigi iki yazilim kendi baslarina cok guvenli olabilirler. Ancak ikisi birer modul gibi birbirine veya ortak bir projeye entegre edilirse, olasi bir guvenlik acigi riski cok daha fazladir. Dusundugumuzde on binlerce satirlik, onlarca modulluk bir projede ortak bir tabandan bahsetmek imkansizdir. Bu da sistemin, guvenlik acigi verme riskini fazlasiyla artirmaktadir.

Yazilim gelistiren ekibin secure coding (guvenli kod yazmak) konusunda egitilmesi uygulama guvenliginin saglanmasi konusunda ciddi bir adim olacaktir.

5. "Web sayfamiz her sene guvenlik degerleme testlerine tabi tutuluyor, o zaman guvenlidir."

Web sayfasi kodlarinindaki surekli guncellenme ihtiyaci, en guncel guvenlik degerlendirme raporlarinin(security assessment report) bile dogrulugu hakkinda akillarda soru isaretleri birakiyor.

Uygulama guvenligi sureci - her ne kadar daha sik gozden gecirme veya denetlemeleri gerektirse de - web sayfalari yilda bir veya en erken alti ayda bir degerlendirme testlerine tabi tutuluyor. Oysa web sayfasina eklenen her yeni uygulamada sayfada kod acigi olusma riski artar.

Mesela sevgililer gunu, ramazan bayrami veya yilbasi gibi ozel gunlerde, e-magazalarina ait web sayfalarin surekli guncellenmesi icin caba harcayan teknik ekip gorev yogunlugu nedeniyle, guvenligi ikinci plana atabilmektedir. Bu tarihlerde, web sayfalarinda yeni eklenebilecek urunler, ozellikler, kampanyalar vs. ile ilgili acil guncellemeler gerekmektedir ve bu yogunluk esnasinda guvenlik kaygilari umursanmayabilir. Yeni eklenen kodlar guvenlik aciklariyla dolu olabilir. Ve yilda bir yapilan denetlemeler bu aciklari buluncaya kadar, Web sayfalari cok buyuk riskler tasiyabilir.

ozetle ;

Yilda bir defa denetleme yapilarak, vulnerability scanner adi verilen cesitli araclarla ag taranarak veya gereksiz yere firewall'lara, SSL'lere onbinlerce dolar harcanarak saglanan guvenlik cogu hacker icin hicbir anlam ifade etmez. Bu sekilde yapilan yanlis yatirimlarla Web sayfalarinin guvenligi saglanamaz.

Tum bu saydigimiz nedenlerle, guvenlik profesyonelleri projelerin tum asamalarinda gorev almalidirlar. Firmalar, guvenlik konusunda yetkin personel sikintisi cekmeleri durumunda ise, web sitelerinin guvenligini, guvenlik danismanligi firmalarina outsource etmelidirler.