MODERN ÇAĞIN MİTLERİ
Web yöneticileri ve İnternet kullanıcıları hala bir takım 'myth'lere inanıyor.
Hackerların, bir tarayıcı penceresini ve birkaç küçük iş hilesini kullanarak, bir Web sayfasına ait veritabanlarına (kredi kartı bilgileri dahil) ulaşabildiği, bu veritabanlarının kopyasını alabildiği veya veritabanlarını tamamen silebildiği bir ortamda, Web yöneticileri ve Internet kullanıcıları halen daha bir takım 'myth'lere(yanılgılara) inanıyor.
Günümüzde standard hal alan güvenlik duvarları (firewall) ve yama yönetimi(patch management) uygulamaları ile network (ağ güvenliği) çok güvenli bir hal amıştır. Her zaman bir adım önde olmayı hedefleyen hackerlar ise, web sayfalarının kendisine -yani uygulama (kod, veritabanı, sunucu) tarafına- yönelmişlerdir. Uluslararası araştırma kurumlarının araştırmaları da bu sonucu doğrulamaktadır. Bugün, yapılan her beş saldırının dört tanesi web uygulamalarını hedef almaktadır Peki web yoneticilerinin ve kullanıcılarının ne yaplamarı bekleniyor? Web sayfalarının güvenliğini artırmak için, aşağıda verilen beş büyük yanlış inanıştan kaçınmak gerekiyor.
1. "Web sayfası SSL kullanıyor, o zaman güvenlidir."
Kendi başına SSL, bir Web sitesini güvenli kılmaz. Web sitelerinin, sayfaların alt kısımlarına koydukları SSL (küçük kilit) logoları, kullanıcı oturumundaki veri aktarımının uygun şifrelendiğini (encryption) gösterir. SSL, bilgi akışından sonra sayfada saklanan veriyi korumaz. Daha doğrusu; SSL'in, kullanıcı bilgilerinin web sayfalarının veritabanlarında saklanması ile uzaktan yakından ilgisi yoktur. Kişisel bilgiler, veritabanına işlendikten sonra, risk data akışında değil server'dadır. Bu yüzden hackerlar, aradaki veri akışının şifrelenip şifrelenmemesini umursamazlar bile. Onlar için asıl yol, web sayfalarda yer alan kod açıklarından veritabanlarına ve sunuculara erişmek, burada yer alan kullanıcı bilgilerini elde etmektir.
2. "Firewall (Güvenlik Duvarı) Web sitesini koruyor, o zaman sayfa güvenlidir."
Güvenlik duvarları, bir sayfaya yönelen trafiği kontrol ederler ama sayfayı kötü niyetli kod saldırılarından koruma yeterlilikleri yoktur. Bu yüzden; firewall ile korudukları serverlarda yer alan web sayfalarında, web uygulamalarını yoğunlukla kullanan e-ticaret firmaları, bankalar ve başta büyük sanayi kuruluşları olmak üzere e-business süreçleri olan tüm kurumlar saldırılara karşı güvensiz kalıyorlar. Geleneksel ağ güvenliği mantığıyla, iyi trafiğe izin ver, kötüsüne izin verme yolunu izleyen firewall eirişim-kontrol listeleri (ACLs) bir ağdan geçen herşeyi engelleyerek, sadece bir kısım activiteye (Web, e-mail) izin verebilir. Bunun dışındaki tüm trafik firewall tarafından bloke edilir. Hacker tarayıcı satır çubuğundan normal bir kullanıcının sayfayı ziyaret etmesi gibi girer, bu durumda firewall'un bir anlamı kalmaz.
3. "Vulnerability Scanner (Zaafiyet Tarayıcı) herhangi bir güvenlik açığı raporlayamadı, o zaman web sayfası güvenlidir."
Doksanların başından beri kullanılan ve Vulnerability Scanner adıyla anılan araçlar, çok bilinen bir kısım ağ güvenliği açıklarını ortaya çıkarırlar. Bununla birlikte, Web server'da çalışan, açıklarla dolu Web uygulamalarındaki zaafiyetleri tesbit edemezler. Güncel bir zaafiyet tarayıcı, ağ güvenliği açıkları kapsamında önceden bilinen zaafiyetlerin yüzde doksanlık bir kısmını raporlayabilir, ancak uygulama güvenliği konusunda, örneğin bir web sayfasının kendine özgü kodlaması ile ilgili, önceden bilinen standart açıklardan söz edilemez.
4. "Web uygulama güvenliği yazılım geliştiricilerin bir problemidir."
Web sayfasının yazılımını yapan kişinin veya ekibin muhakkak problemde payı vardır ama uygulama güvenliği risklerini ortaya çıkaran birçok faktör onların kontrolü dışında gerçekleşmektedir. Mesela, kaynak kod yazılırken dışardaki sistemlerden alınmış olabilir ve dışardan sağlanan kod ile sonradan geliştirilen / değiştirilen kod birbirine karışmış olabilir. Hatta yazılım geliştiriciler örnek kod veya açık kod kullanabilirler. Yani, bir yazılım projesi için üretilen kod tabanının tek olduğu veya birbirine karışan kodların güvenli olup olmadığı hiç bir zaman kesin değildir. Mesela iki yazılımcının ayrı ayrı geliştirdiği iki yazılım kendi başlarına çok güvenli olabilirler. Ancak ikisi birer modül gibi birbirine veya ortak bir projeye entegre edilirse, olası bir güvenlik açığı riski çok daha fazladır. Düşündüğümüzde on binlerce satırlık, onlarca modüllük bir projede ortak bir tabandan bahsetmek imkansızdır. Bu da sistemin, güvenlik açığı verme riskini fazlasıyla artırmaktadır.
Yazılım geliştiren ekibin secure coding (güvenli kod yazmak) konusunda eğitilmesi uygulama güvenliğinin sağlanması konusunda ciddi bir adım olacaktır.
5. "Web sayfamız her sene güvenlik değerleme testlerine tabi tutuluyor, o zaman güvenlidir."
Web sayfası kodlarınındaki sürekli güncellenme ihtiyacı, en güncel güvenlik değerlendirme raporlarının (security assessment report) bile doğruluğu hakkında akıllarda soru işaretleri bırakıyor.
Uygulama güvenliği süreci - her ne kadar daha sık gözden geçirme veya denetlemeleri gerektirse de - web sayfaları yılda bir veya en erken altı ayda bir değerlendirme testlerine tabi tutuluyor. Oysa web sayfasına eklenen her yeni uygulamada sayfada kod açığı oluşma riski artar.
Mesela sevgililer günü, ramazan bayramı veya yılbaşı gibi özel günlerde, e-mağazalarına ait web sayfaların sürekli güncellenmesi için çaba harcayan teknik ekip görev yoğunluğu nedeniyle, güvenliği ikinci plana atabilmektedir. Bu tarihlerde, web sayfalarında yeni eklenebilecek ürünler, özellikler, kampanyalar vs. ile ilgili acil guncellemeler gerekmektedir ve bu yogunluk esnasında güvenlik kaygıları umursanmayabilir. Yeni eklenen kodlar güvenlik açıklarıyla dolu olabilir. Ve yılda bir yapılan denetlemeler bu açıkları buluncaya kadar, Web sayfaları çok büyük riskler taşıyabilir.
Özetle ;
Yılda bir defa denetleme yapılarak, vulnerability scanner adı verilen çeşitli araçlarla ağ taranarak veya gereksiz yere firewall'lara, SSL'lere onbinlerce dolar harcanarak sağlanan güvenlik çoğu hacker için hiçbir anlam ifade etmez. Bu şekilde yapılan yanlış yatırımlarla Web sayfalarının güvenliği sağlanamaz.
Tüm bu saydığımız nedenlerle, güvenlik profesyonelleri projelerin tüm aşamalarında görev almalıdırlar. Firmalar, güvenlik konusunda yetkin personel sıkıntısı çekmeleri durumunda ise, web sitelerinin güvenliğini, güvenlik danışmanlığı firmalarına outsource etmelidirler.
( Whitehat Security CEO'su Jeremiah Grossman'ın 'Security Myths' makalesinden alıntılar içermektedir. )