Açık kaynak kodundaki açıklar kapanıyor

Firefox, Linux, PHP, Ruby ve Samba... Kod güvenliği ülke güvenliğini etkiliyor. İşte detaylar...

Okumak için: https://www.chip.com.tr/konu/acik ... apaniyor_15491.html

Resimlerle: Windows'tan Linux'a doğru...

Kod analiz araçları hazırlayan Coverity'nin yaptığı araştırmaya göre açık kaynak kodunun kalitesi yükseliyor.

Coverity Scan Open Source Report isimli raporun üçüncü sürümüne göre geçtiğimiz 3 yılda hata oranı yüzde 16 düştü. Firefox, Linux, PHP, Ruby ve Samba gibi popüler açık kaynak projelerini de içine alan analizde, 280 projeden, 11 milyar kod satırı incelendi. Statik kod analiz yöntemiyle yapılan hata tespit çalışmalarında kaynak kod, derlenmeden ve çalıştırılmadan inceleniyor.

Coverity'nin analizleri sayesinde 2006 #8211; 2009 yılları arasında açık kaynak kodlu yazılımlarda 11.200 açık giderildi. NULL Pointer, kaynak sızıntıları, gözden kaçan çeşitli kod parçacıkları, yazım yanlışları en büyük sorunlar arasındaydı.

Bu proje US Department of Homeland Security, yani Amerikan Anavatan Güvenliği Departmanı tarafından, Coverity ile birlikte başlatıldı. Açık kaynak kodunu daha güvenli hale getirme çalışmaları sırasında yapılan analizler halka açık değil. Bu yüzden Microsoft'un ve benzeri büyük şirketlerin kendi kod analizlerinin başarısıyla kıyaslamak kolay değil.

Tüm konu: Açık kaynak kodundaki açıklar kapanıyor

İzleyin: Nokia N900: Yeni reklam videosu

Resimlerle: Windows'tan Linux'a doğru...

Kaynak: www.chip.com.tr

Tartışıyoruz: Kod güvenliği ülke güvenliğini etkiler mi?

Etkilemez olur mu? :)

Şöyle düşünelim.
Microsoft un bir çok güvenlik açığı var denir çoğu programlarına. Örnek;
Windows,
Office,
Sql Server...

Şimdi bunu bilmeyen ve herşeye atlayan kötü söz uzmanı kişiler uydurur. Yazılan her kod denetlenir ama milyonlarca satır kod ha deyince kontrol edilemez...

Microsoftun kodlarını analiz etmede en büyük firmalardan biri olduğunun en basit kanıtı:
Visual Studio Team Suite sürümünde bulunan Code Analysis ve FxCop diye iki test programı var...

.NET kullanan kişiler bilirler. İncelediğinizde binlerce kod test şeması var microsoft her birini teker teker eklemiş. Düşünün sizin yazdığınız kodun güvenlik açığını performansını, tutarlılığını inceliyor analiz ediyor sunuyor.

Şimdi mevzuya gelelim çoğu .net ile program geliştiren çoğu şirket hiç analiz etmiyor.

Örnek vereyim:
Developer Express, Telerik gibi çoğu .net için özel component geliştiren firmalar. kodlarında birçok güvenlik açığı var.

Şimdi açık kaynak bunlardan daha beter durumda. herkez bir kod ekliyor düzenliyor yeni sürüme sokuyor. Kim kime güvenecek.

Kısaca Windows Açık kaynak kod olsaydı durum daha vahim olurdu.

Evdeki bilgisayarlara veya şirketlerdeki bilgisayarlara ne yüklersek yükleyelim, devlet hizmetlerinde kullanılan bilgisayarlara yerli alternatifi varken yabancı bir yazılımı yüklemek büyük bir zaafiyet olduğu görüşündeyim.Yani evde ne kullanırsak kullanalım devlet dairelerinde Pardus kullanmamız milli savunmamız açısından en faydalısı.

Bu konuya lütfen Microsoft veya Linux fanatikliği boyutunda yaklaşmayıp biraz daha geniş düşünürsek sevinirim.Microsoft veya Apple farketmez, Amerika'da iş yapan herhangi bir büyük yazılım firması yurt dışına yazılım ihraç edecekse Amerikan Haberalma veya Güvenlik servisleri tarafından denetlenme mecburiyeti var.Microsoft ve diğer bütün büyük yazılım firmaları bünyelerinde (güvenlik danışmanlığı adı altında) NSA görevlileri çalıştırıyorlar.

PGP'nin ilk çıktığında (o dönemler Amerikan Haberalma Teşkilatları tarafından kırılamadığı için) yurtdışına ithalatı yasaklanmıştı.Daha sonra firma güvenliği düşük bir sürümünü ithal etmek zorunda kaldı.Bunun dışında diğer 128 bit şifreleme tekniğini kullanan diğer firmalar da teşkilatların bilgisayarları bunları kırabilecek hale gelinceye kadar Amerika dışına o haliyle satış yapamadılar.56 bit şifreleme ve benzeri düşük şifreleme çözümleri ile aşmıştı çoğu bu engeli.

Daha farklı konuda bir örnek vermek vermek gerekirse 2. Irak harekatı sırasında Amerika bölgeye ilk girdiğinde özel bir teknik kullanarak bölgedeki tüm Motorola telsizlerin iletişimini engellemişti.Kısa bir süre için de olsa ordunun bölge içersindeki tüm iletişimi yedekte tutulan kimsenin yüz vermediği kısa mesafe Aselsan telsizlerle yapılabildi.

Microsoft'u çok seviyoruz, canımız ciğerimiz ama yazılımları kapalı bir kutu.İçersinde ne olduğunu tam olarak bilmiyoruz.Evimin veri güvenliği için Windows'u tek geçerim ama ülke güvenliği söz konusu ise içeriğini bilmediğim kapalı bir kutuya güvenemem.

Bence pcde devrim yapılmadan, hiçbir sistem güvenli değil.. Mikrodenetleyicilerle pcleri kıyaslayalım..
 
Mikrodenetleyicide; flash hafıza, ram, işlemci ve dahili usb,seriport,i2c portu vs bir arada bulunur.. Mikrodenetleyici harici programlayıcı ile programlanırken düzgün ayar yapılırsa eğer, bir bölmedeki prog bir diğer bölmedeki progu okuyamaz, yazamaz.. Bazı ayarlamalarda prog kendisi için ayrılan hafızasına veri yazıp okuyabilir.. Tam korumalı ayarlandığında harici programlayıcı ile okunamaz, içerisine portlar aracılığıyla(ki ana program izin vermeden bu da mümkün değil) program atıldığında bile ana program okunamaz.. Belki bi ihtimal üretici firma tarafından yapılan açıklarla ana program okunabilir.. Ve de çok kararlı birine denk gelirseniz hddlerde olduğu gibi mikrodenetleyici içindeki programı mikroskop kullanıp bitleri tek tek okuyarak bulabilirler..
 
Gelelim pcye.. İsteyen istediği dosyayı okur-yazar(Windows tarafından koruma olmadığında.. - tabi bu koruma da yetersiz bence).. Olmadı fat veya ntfs dosya sisteminin verilerine dahi ulaşır.. Ki dosya sistemine ulaşılıyorsa(kullandığım bi programla bu mümkün) dosya okuma koruması hiç bir işe yaramaz.. İsteyen programcı(crackerlar) bu okunabilir kodları inceleyerek bugları bulabilirler.. Bunları kötü amaçlarla kullanabilirler.. Neyin ramde nereye yazıldığını(artık bu iş zorlaştı sanırım) bulabilir, şifreleri ayıklayabilir.. Hiçbiri olmasa da pcdeki parçalar arasındaki(hdd çıkışı vs) iletişim dinlenerek ana program(işletim sistemi kodları) okunup hata bulunabilir..
 
Bence pc zaten açık kaynak kodlu bir sistemdir.. Pcdeki tüm kodlar okunabilir.. İllaki bi yerde açık bırakılmıştır ve kararlı bir hacker bunu eninde sonunda bulacaktır.. Bence donanımsal bir koruma olmadan hiçbir sistem güvenli değildir..