Uzmanından: Linux mü Güvenli, Windows mu

Banned
14-11-2010, 21:49   |  #1  
OP Banlandı
Teşekkür Sayısı: 0
556 mesaj
Kayıt Tarihi:Kayıt: Kas 2008

Okuyucuya Not: Kırmızı satırları tekrar tekrar okuyun

İşletim Sistemlerinde Güvenlik Tartışması

                  Bu yazı günümüzde yaygın kullanılan işletim sistemlerinin güvenlik yönünden yorumsal karşılaştırmasını içermektedir. Tartışmaya daha çok açık kod, kapalı kod, yazılım yönünden bakılmıştır. Not: Bu yazı bugüne kadar çeşitli amaçlarla kullandığım işletim sistemleri üzerinde edindiğim tecrübelerin sonucudur ve kesin doğruluk içermez.Cevap aradığımız sorulardan bazıları:                                                            

• Bir işletim sisteminin güvenliğini hangi unsurlar belirler? 
• Güvenlik düzey belirlemesi için standart var mı?
• Açık kodlu olmak bir sistemi daha güvenli kılar mı?
• Bir sistemin daha yaygın olması daha fazla açıklık aranmasına sebep olur mur?

      Güvenlik denilince olaya tek bir noktadan bakmak yanlıştır, bir işletim sisteminin ağ yapısı oldukça zayıf tasarlanmış olabilir fakat çok kullanıcılı yapısı üzerinde kullanıcı haklarında ileri düzey kontrol ve güvenlik imkanları sağlamış olabilir. Bunun için karşılaştırma yaparken tek bir noktaya odaklanmak yerine resmin genelini değerlendirmek daha doğrudur.
       Yazılımlar insan ürünüdür ve insan, doğası gereği hata yapar(yapabilir değil, yapar). Önemli olan hatanın ne kadar sürede giderilebileceği ve sonuçlarının neler olacağıdır. Bir yazılımcı hata yapar , yazdığı program istenildiği gibi çalışmayabilir. Bu, çoğu zaman kısa sürede giderilebilecek bir eksikliktir. Fakat bir protokolün tasarımında ya da yazılımın tasarımında hata yapılırsa bu kolay kolay giderilebilecek bir husus değildir. Nitekim son yıllarda özellikle Microsoft Windows işletim sisteminin tabiri caizse göbeğinde çıkan açıklar kanımca tasarım ve tasarımın getirdiği yazılımsal eksikliklerdendir. Öyle olmasa çıkan bir açığın kapatılması ardından , açığı istismar için yazılmış kodlarda yapılan değişiklikler ile işletim sistemi aynı açıktan defalarca etkilenmezdi. Aynı şekilde Internet trafiğini üzerinde taşıyan işletim sistemi IOS’da çıkan ve bazı işletim sistemlerinde (OpenBSD) yıllar önce giderilmiş olan basit mantık hataları bugün varolmazdı.
İşletim sistemlerinde güvenlik düzeyini belirleyen resmi, yansız bir kurum yok. Aslında var ama günümüz işletim sistemlerini analiz etmekten çok uzak bir yapı. Bu sebeple işletim sistemlerinin firmaları genellikle çeşitli güvenlik firmalarına testler yaptırarak en güvenli işletim sistemlerinin kendilerininki olduğunu söylerler.

Burada atlanılan diğer bir konuda, işletim sistemi güvenliğine sadece yazılımsal olarak bakmaktır. Oysa birçok sistemin temel olarak kullandığı donanım mimarisi üzerinde yazılabilecek programların özelliklerini kısıtlar. Mesela günümüzde güvenlik açıklarının büyük çoğunluğunun sebebi Buffer overflow denilen bellek taşırma hadisesidir. Bir VMS sistem üzerinde kullanılan dile bağlı olarak Buffer overflow yapmak imkansızdır. Zira yazılımın üzerinde koştuğu donannım mimarisi bunu engellemektedir.

Açık Kaynak Kodlu sistemler neden daha güvenlidir?

Ya da tam tersi..
Son yılların popüler ama bilinçsizce(?) yapılan tartışmalarından biri de açık kod yazılımlar üzerinedir. Bu tartışmada taraflar genelde ikiye ayrılarak siyah ve beyazı oynamaktadır. Bir taraf için bu sorunun cevabı tartışılmayacak kadar kesindir. Evet açık kaynak kodlu bir ürün her zaman kapalı koddan daha güvenlidir... Diğer taraf da kendince öne sürdüğü kıstaslara göre açık kodlu yazılımların kesinlikle güvenli olamayacacığını belirtir.

      Bu tartışmada 3. olarak sayılabilecek ama sesi cılız kalan bir taraf daha vardır. Bu taraf ise yazılan bir sistemin açık kaynak kodlu olmasından öte yazılanın nasıl yazıldığını irdeler ve sistemden ziyade onu yönetinin güvenlikde daha önemli rol oynadığına inanır.

      Eğer bir yazılım gerçekten iyi tasarlandı ve yazılan kodlar işini bilen mühendisler tarafından incelendi ise bu yazılımın güvenli olması için kodlarının açık olması gerekmez. Önemli olan yazılımın ne amaçla yazıldığıdır.

       Siz bir Firewall’u musterileriniz kolay kullansın önceliği ile tasarlar sonrada hayata geçirirseniz, müşterileriniz kolayca kullanacaktır fakat olaya müşteri gözü ile bakmayanlar (hackerlar) daha farklı şeyler bulacaklardır…  Bir sistemin, yazılımın açık kaynak kodlu olması birçok avantajı yanında getirir. Genel olarak bakıldığında dezavantaj oluşturacak bir yanı yoktur. Yazılan kod işini bilen, bilmeyen onbinlerce(?) insan tarafından incelenerek belirli bir olgunluğa daha kısa sürede ulaşır. Eğer bu kapalı kod üzerinde sağlanabilirse aynı oran o yazılım için de geçerlidir.

      Belki amatör bir düşünce ama yazılımın amacı kalitesini belirler. Bir tarafta patronun soluğunu ensesinde hisseden yazılımcı, bir an önce bitsinde nasıl olursa olsun düşüncesinde. Diğer yanda bu işten zevk alan , belki normal işinin haricinde geceleri uykusundan zaman ayırarak bu işi yapan yazılımcı.
Bunun için de önemli olan yazılımın esnekliği, tasarımıdır. Önünde kaygısı yok, hep daha iyi nasıl yapabilirim düşüncesi var. Ortaya çıkacak yazılımların kalitesi biraz da buna bağlıdır...

Yaygın kullanım ne getirir?

Linux mu daha güvenli Windows mu? tartışmalarının ana konularından biri de yaygın kullanım oranıdır. Genelde savunulan, bir işletim sisteminin yaygın kullanılması onun daha fazla insan tarafından kurcalanması, risk altında olması demektir. Bu fikir itiraz kabul edilmeyecek kadar doğrudur. Bu çerçeveden bakıldığında windows işletim sistemlerinde çıkan açıkların Linux sistemlerden çok olması doğaldır. Fakat burada genellikle hesaba katılmayan bu açıkların öyle bilgisayar meraklısı gençler tarafından rastgele bulunmadığıdır.  Bu açıkları bulmak(basit olanları değil) genellikle o konu üzerinde ileri düzey bilgi gerektirir. Ve işletim sistemlerinin mazisine baktığımızda UNIX sistemlerden anlayan “uzmanların“ daha çok olduğunu görebiliriz. Gerçi günümüzde olay biraz daha farklı mecralarda seyrediyor, insanlar para için ya da farklı amaçlar için uzmanı oldukları konularda işletim sistemlerini, yazılımları zorluyorlar ve buldukları açıkları internette paylaşıyorlar. Sonuç olarak bir işletim sisteminin yaygın kullanılması onun daha fazla risk altında olduğunu gösterir fakat çıkan açıkları tamamen bu sebebe bağlamak işin kolayına kaçmak olur.

Hangisi daha güvenli?
Yukarıda açıklamaya çalıştığım temel bilgiler ışığında günümüzdeki işletim sistemlerinin çoğu sınıfta kalıyor…

     Öncelikle Microsoft firması ağzı güvenlik yönünden çok yandığı için bu konuya oldukça önem veriyor. Yeni nesil işletim sisteminin çıkış tarihini de eklenecek güvenlik özellikleri sebebi ile erteliyor..Windows 2003 Microsoft’un güvenliğe ne kadar önem verdiğinin iyi göstergelerinden. İşletim sistemi kurulduğunda default olarak herhangi bir servis aktif edilmiyor… Web sunucusu aktif edilecekse içerisinde istismar edilebilecek scriptler vs kaldırılmış.  Bütün bunlar kullanıcı tarafında zorluk çıkaracak işlemler. Mesela sistem yöneticisi web sayfasında asp çalıştırabilmesi için A modülünün yüklü olması gerektiğini bilmelidir.
Benzer durumları Linux dünyasında da görmek mümkün, işletim sisteminin çekirdeği olan “Linux“ için bunu söylemek o kadar kolay olmasa da Linux’u çekirdek olarak kullanan dağıtımlar genelde kötü durumda. Bunlar genellikle kalitesiz yazılımların denetimsiz bir şekilde işletim sistemine eklenmesinin sonucu. Hatırladığım kadarı ile Fedora Linux işletim sisteminin bir sürümünde  ilk çıktığı gün 16 adet yama çıkarılmıştı.

Red Hat, Ubuntu, Debian, Slackware gibi işini daha ciddiyetle yürüten Linux dağıtımlarında durum biraz daha iyi. Bu projeler genellikle belirli sorumluluklar altında geliştirildiği için sisteme eklenecek yazılımların kotnrolü daha iyi bir şekilde yapılmaktadır.
Resmin diğer yarısında ise başka işletim sistemleri var. Özgür UNIX dağıtımı BSD’ler... Her biri farklı ve öz bir amaç için yola çıkmış bu işletim sistemleri ticari kaygıdan uzak bir şekilde yollarına devam etmekteler.
İşlerini iş olsun, göz doldursun diye değilde gerçekten o işi yapmış olmak için yaptıklarından çok bilinmiyorlar. Bunların içinde temel amacını güvenlik olarak belirlemiş ve bugüne kadar yaptıkları yapacaklarının teminatı olmuş bir işletim sistemi var: Adı OpenBSD.
Yazdıkları her satır kodu tekrar tekrar inceleyen, bir yerde suistimale yer veren bir kod bulduklarında tüm sistemi bu kod için tarayan hatta bunu daha da geliştirip işletim sisteminin derleyicisine ekleyen bir sistem… Sitesinde yazdığı gibi “10 yılda uzaktan iki  güvenlik açığı”.  OpenBSD gerçek güvenlik arayanların birgün mutlaka uğrayacağı, uğramak zorunda olduğu bir işletim sistemi olarak biz güvenlik uzmanlarını bekliyor.
                                       
Kaynak:  http://www.beyazsapka.org/makaleler/isletim-sistemlerinde-guvenlik-tartismasi


Sonuç olarak beyaz şapka hacker grubu söylemektedirki windows linuxden daha güvenli değildir ve aynı zamanda linux kesinlikle windowstan daha güvenli değildir yani linux kullanacaksınız işini ciddiye alan dağıtımmları kullanın gidip bir gos yada adı duyulmamış bir derleme denemeyin. En güvenli sistem ne o zaman o da son satırda vurgulanmış. openbsd. bunu nereden anlıyoruz:


http://www.tamersahin.com/

Son Düzenleme: Banned ~ 14 Kasım 2010 22:14
tremere
15-11-2010, 00:38   |  #2  
Yeni Üye
Teşekkür Sayısı: 0
49 mesaj
Kayıt Tarihi:Kayıt: Ağu 2010

Bu uzman arkadaş kendini tanıtsaydı daha iyi olurdu.
Merak ediyorum hangi linux dağıtımlarını hangi süreler boyunca kullanmış.
Hangi bsd veya unix dağıtımını bizzat deneyip ne kadar zaman kullanmış, kaç yıldır bilgisayarlarla iç içe
Hiç popüler bir program yazdı mı veya geliştirmesine katkıda bulundu mu
hiç birşey kırdı mı yani hackledi mi
herhangi bir yazılım veya güvenlik firmasında çalıştı mı
Bu yazıyı deneyimleri sonucu mu duyumları ve okudukları sonucu mu yazdı

Cevap basit.
Kendi yazısı bile değil.
Birkaç farklı yabancı siteden çevirmeler yaparak biraz da kendi düşüncelerini aktarmış.
Aslında haklı olduğu taraflar %50'nin üstünde.
Ama bariz komik şeyleri yutturmaya da çalışmış.
Konuyla ilgilenenler şuraya da bakabilir.

http://www.whylinuxisbetter.net/index_tr.php?lang=tr

Selçuk İslamoğlu
15-11-2010, 05:28   |  #3  
Selçuk İslamoğlu avatarı
CHIP Online
Teşekkür Sayısı: 73
4,133 mesaj
Kayıt Tarihi:Kayıt: Ağu 2003

Ah ah, Tamer Şahin ismi beni 90'lı yılların sonuna götürdü...

Eğer kendisi yazdıysa, Tamer Şahin, Superonline'ın DNS kayıtlarını başka bir DNS'e aktarmıştı o zamanlarda NIC'teki açığı kullanarak... Ertesi gün yakalanmıştı zaten. Ondan sonra haber alamadıydık :p

Her neyse, son söz doğru olsa da bir çoğu kişisel tümevarımlar ve genellemeler. OpenSource olması teoride bir avantaj "daha güvenli" gibi gözükse de, hanginiz açıp da bir opensource'un kodlarına baktınız veya güvenli mi değil mi taradınız? "Biri bakmıştır ondan güvenlidir" diyemezsiniz. Ama öte yandan kapalı kodlarda da kodu yazan firma harici açık bulması çok daha zordur 3. taraf kişilerce...

Banned
15-11-2010, 12:46   |  #4  
OP Banlandı
Teşekkür Sayısı: 0
556 mesaj
Kayıt Tarihi:Kayıt: Kas 2008

Sayın Selçuk İslamoğlu ve trmere konunun yani yazının  Tamer Şahinle doğrudan bir ilgisi yok sadece tamer şahininde türkiyedeki en iyi free bsd destekçilerinden ve kullanıcılarından olduğunu bildiğimden, son tahlilde onun sayfasına link verdim. Yazıyı yazan arkadaş Türkiye beyaz şapka hacker grubundan biri Huzeyfa Önal sanırım, bu paylaştığım yazının başlığının "uzmanından" diye etiketlenmesindeki en büyük sebepdir. Yani adam kısaca diyorki linuxün güvenli olmasının çokta açık kaynaklı olması ile ilgisinin olmadığının esas kıstasın linuxde kodların ne kadar iyi yazıldığı ile ilgili olduğunun ki bu durum linux cephesi için her zaman bir muammadır; 6 ayda bir yeni dağıtım çıktığı düşünülürse, ayrıca linuxun açıklarının donanım konusunda çok belirgin olduğunu yani donanım için yazılan kodların yeni linux açıklarını beraberinde getirdiğini bu durumun ms cephesinde windows 2003 den beri ciddi şekilde düzeltildiğini yani "bakın linux açık kaynak kodlu herkes inceliyor" mantığının güvenlik açısından bir safsata olduğunu anlatmaya çalışmış yazıyı yazan arkadaş. Orada zaten kaynak linki verdim isteyen girip adamın seviyesini ve kalitesini inceleyebilir. son olarak  open bsdnin hem bilinen linuxden hemde, msden çok çok daha güvenlik açısından sağlam olduğunu yazmış neden olarak kodlarının onlarca defa incelendiğini ve bir dağıtım şovu çerçevesinde değil bir amaç çerçevesinde hiçte acele etmeden yazıldığını ve ms nin bile network konusunda yıllarca kapanmayan mantık hatasından kaynaklanan sorunun open bsd de yıllar önce kapandığını bahsetmiş yani linuxu ayrı bir kaba koymuş hatta linuxu windowsla aynı kefeye koymuş open bsd yi tamamen ayrı bir kefeye.

Son Düzenleme: 36 boys ~ 15 Kasım 2010 12:50
saslove1984
15-11-2010, 20:24   |  #5  
Yıllanmış Üye
Teşekkür Sayısı: 0
463 mesaj
Kayıt Tarihi:Kayıt: May 2010

kırmızı gözü çok yoruyor  kurdeşim :s

sireno52
10-08-2018, 09:28   |  #6  
Taze Üye
Teşekkür Sayısı: 0
3 mesaj
Kayıt Tarihi:Kayıt: Şub 2011

Ben konunun uzmanı değilim  bu konuyu yazanda değil anlaşılan adam bilgisis olduğu her halinden belli fedora guvensiz ama red hat güvenli olduğunu yazmış fedora ve centosu zaten red hat  yapiyor bir makale yazacaksın iyi araştırıp  tarafsız yazacaksin

sireno52
10-08-2018, 09:28   |  #7  
Taze Üye
Teşekkür Sayısı: 0
3 mesaj
Kayıt Tarihi:Kayıt: Şub 2011

Ben konunun uzmanı değilim  bu konuyu yazanda değil anlaşılan adam bilgisis olduğu her halinden belli fedora guvensiz ama red hat güvenli olduğunu yazmış fedora ve centosu zaten red hat  yapiyor bir makale yazacaksın iyi araştırıp  tarafsız yazacaksin

excel_mustafa
10-08-2018, 17:56   |  #8  
excel_mustafa avatarı
Genel Denetmen
Teşekkür Sayısı: 553
4,481 mesaj
Kayıt Tarihi:Kayıt: Nis 2012

güvenli işletim sistemi yoktur. bilinçli kullanıcı ve sağlam antivirüs vardır.