_ruHsuz_
04-12-2009, 16:22
AÇ işletim sistemleri ve bunların korunmasına yönelik geliştirilen "Firewall ve Denetim" yazılımlarının incelenmesine kaldıÇımız yerden devam ediyoruz. Kısaca hatırlatmak gerekirse ilk bölümde, firewall ve anti-virüs yazılımları üzerine temel bilgiler vermiş ve port'ların yapısından bahsetmiştik. Bu ay ise çeşitli aÇ işletim sistemlerini tehdit eden en önemli güvenlik açıklarını inceleyerek, yöneticilerin ve sistem sorumlularının bunlara ek olarak yapmış oldukları kritik hatalara deÇineceÇiz. Ayrıca Unix ve NT işletim sistemleri için özel olarak tasarlanmış bir firewall olan "CyberGuard"ın inceleme ve test sonuçları da bu ay ki yazımızın diÇer konuları arasında. Öncelikle internet tarihinde sistemleri tehdit eden en önemli 10 güvenlik açıÇını ve bu açıklara karşı ne gibi önlemlerin alınması gerektiÇini inceleyelim.
Özellikle son yıllarda ciddi oranda artan tescilli bilginin çalınması, sistem çökertme, denial of service (hizmet durdurma saldırısı) ve diÇer hacker olayları, bu konu üzerinde ürünler geliştiren firmaları oldukça zor durumda bırakıyor. ÖrneÇin x firması yeni çıkarmış olduÇu bir kurumsal firewall'u oldukça güvenilir ve rakipsiz olarak piyasaya lanse ederken, bir süre sonra yine aynı firma, söz konusu ürünün bir çok açıÇının keşfedildiÇini ve bunun üzerine bir patch (yama) çıkarıldıÇını duyuruyor. Bu aslında son derece rutin bir gelişme. Sistemlere sızmanın binbir çeşit yolu varken, fazla bir geçmişi olmayan firewall'ların işin biraz gerisinden gelmesi anlaşılabilir bir olgudur. DiÇer taraftan sistem yöneticilerinin yaptıkları işe yeterince ilgi göstermemesi hacker'ların hep bir adım önde olmalarını saÇlıyor. Sistem yöneticileri ya çok fazla işle uÇraşmak zorunda olduklarından ya da teknolojiyi yeterince yakından takip edememelerinden dolayı sistemlerinde oluşabilecek güvenlik açıklarını ne yazık ki gözden kaçırıyorlar. Belki de çoÇu kişi için bu iş biraz aÇır geliyor. Ancak aÇ güvenliÇi ve dolayısıyla internet güvenliÇi kesinlikle hafife alınabilecek bir iş deÇil.
En Önemli 10 Güvenlik AçıÇıHacker'ların bilgisayar sistemlerine girmek için yaptıkları iş, en bilinen güvenlik deliklerini en çok kullanılan saldırı programları ile kontrol etmekten ibaret. ÖrneÇin Amerika Savunma BakanlıÇı Pentagon'un bilgisayarlarına giren hacker'lar NT sunucuların bir yama ile basitçe tıkanabilecek bir güvenlik deliÇinden faydalanmışlardı. İşte en önemli 10 açık.
1 - BIND (Berkeley Internet Name Domain)
Alan adı servislerinin en çok kullanılanı olan BIND sayesinde web sitelerine erişmek için IP numarası yerine .com, .org, .net ile biten isimler kullanırız. Hacker'lar BIND servisinin zayıf noktalarını bularak kayıtları deÇiştirme yoluyla isimleri istedikleri IP numaralarına yönlendiriyorlar. Ne yazık ki internette kullanılan alan adlarının yarısından fazlası bu saldırılara açık durumda.
2 - Korunmasız CGI ve diÇer web uygulama uzantılarıBir çok web sitesinde etkileşimli formlar ve şifre kontrolü amacı ile kullanılan CGI uygulamaları kimi zaman kötü niyetle kullanılabiliyor. Bir çok programcı yazdıkları kodların hacker'lar tarafından amaç dıışı kullanılabileceÇi konusunda yeterince bilgi sahibi deÇiller. Zayıf CGI kodları ile web sitelerinin veri tabanlarına çok rahatlıkla ulaşılabilir ve kullanıcı şifreleri gibi hassas veriler çalınabilir! Şifre veya kredi kartı gibi kişiye özel verilerin işlendiÇi etkileşimli sitelerde mutlaka SSL (Secure Sockets Layer) teknolojisi veya 128 bit'lik benzer standartlar kullanılmalı.
3 - RPC (Remote Procedure Call)Uzaktan erişim yoluyla bir bilgisayar üzerinden başka bir bilgisayar üzerindeki bir programı çalıştırmaya yarayan RPC komutları hacker'lara korunmasız sistemler üzerinde Root yetkisi veriyor. Belirlenmiş politikalar haricinde izinsiz girişleri tespit edebilen basit bir firewall bu tip denemeleri fazlasıyla bloke edecektir. Ayrıca IP yönünden de bu kişiler tespit edilebilir. Ancak saldırıların büyük çoÇunluÇunun internet kafelerden yapıldıÇı göz önüne alınırsa bu IP bilgilerinin pek fazla deÇeri olmayacaktır.
4 - Microsoft Internet Information Server (IIS) güvenlik deliÇiWindows NT ve 2000 sunucularda çalışan IIS'in uzaktan kontrol özelliÇi sisteme sızmak için potansiyel bir güvenlik deliÇi. Bu açıÇı yoklayarak sisteme girmeyi başaran hacker'lar "Administrator" olarak istediklerini yapma hakkına sahip oluyorlar. IIS 4.0 kullananların en kısa sürede 5.0'a geçmeleri ve çok gerekli deÇilse uzaktan kontrol özelliÇinin devre dışı bırakılması önerilir.
5 - Windows NT Server 4.0 (service pack 7) - Windows 2000 Server (Service pack2)NT Server 4.0 ve 2000'de bulunan kritik güvenlik açıkları Microsoft tarafından şimdilik giderilmiş gözüküyor. Söz konusu yamaları Microsoft'un sitesinden indirerek mutlaka sistemlerinize adapte etmelisiniz. Yazılım firmalarının hata gidermedeki verimlilik oranları (defect removal efficiency) yüzde 99 düzeyindedir.
6 - Sadmind ve mountd komutlarıSolaris işletim sistemi kullanan sunucularda sadmind komutuyla uzaktan erişim hakkı elde eden hacker'lar mountd komutu ile Root yetkisi alıyorlar. Bu işletim sistemini kullanan sunucuların söz konusu açıkları sistem yöneticileri tarafından kapatılmalı. Ayrıca, güvenilir bir firewall ile desteklenmesi de gerekir.
7 - NT, Linux ve Macintosh'larda dosya paylaşımıWindows Netbios, Linux NFS ve AppleShareIP servisleri çoÇu zaman internete açık olan sistemlerde kullanıma hazır duruyor. Sisteme giriş için tek yapılması gereken, IP adreslerini tarayarak açık servisleri bulmak. İşi bilen için gerisi çorap söküÇü gibi gelir. Daha önceki maddelerde de belirtildiÇi gibi gereksiz, kullanılmayan servisleri mutlaka diskalifiye edin. Ayrıca bu tip protokoller aÇa çok fazla yük getirdiÇinden bir anlamda bunun da önüne geçilmiş olur.
8 - Şifresiz veya basit şifreli Root\Administrator yetkileri
ÇoÇu sistem yöneticisinin deÇiştirmeyi unuttuÇu veya sıkça kullanılan şifreler çoÇu hacker'ların sözlüklerinde zaten bulunmakta. Bu işlem tecrübenin de getirdiÇi tahmin gücüyle birleşince, bunları deneyen usta hacker'lar sistemlere şifreleri ile girebiliyorlar. Şifreleme sırasında akılda kalıcı olmayan kombinasyonlar kullanılmalı.
9 - IMAP ve POP e-posta protokolü güvenlik delikleri
E-posta protokolleri olan IMAP ve POP bir dizi güvenlik deliÇi içermekte. Bu protokoller e-posta erişimine izin vermek için firewall'lar tarafından açık bırakılır. Ancak bu servisler üzerinden sisteme giriş yapan hacker kendini Root yetkisi ile donatabiliyor. Bu açıÇın tehlikesi mevcut firewall'un mimarisi ile orantılıdır. Bu da seçilecek firewall'un kendini kanıtlamış bir ürün olması gerektiÇini ortaya koyar.
10 - SNMP (Simple Network Management Protocol)
AÇ yöneticilerinin ve çeşitli aÇ izleme araçlarının, sistemi izlemek ve yönetmek için kullandıkları SNMP protokolü çoÇu zaman şifresiz paketler yolu ile haberleşir. Bunlara erişebilen veya mevcut paketleri deşifre edebilen hacker tüm aÇ hakkında çok deÇerli bilgiler edinebilir. Tek çözüm yasadışı sniffer'lara karşı ilan edilmemiş denetimler gerçekleştirilmesini saÇlamaktır.
Tüm bunlara ilave olarak her geçen gün yeni saldırı yöntemleri geliştirilmekte olup dolayısıyla yeni açıklar ortaya çıkmaktadır. Bu tip potansiyel güvenlik açıklarını yakından takip etmek isteyenler SANS Enstitüsü'nün sitesinden yararlanabilirler. 96 bin sistem yöneticisinden kurulu bir platform olan SANS, internet üzerinde oluşturulması gereken güvenlik standartları hakkında bilgi topluyor ve sitesinde tavsiye niteliÇinde açıklamalarda bulunuyor. SANS Enstitüsü'ne www.sans.org adresinden ulaşabilirsiniz.
Yöneticilerin ve sistem uzmanlarının hatalarıGüvenlik açıklarının yanında yöneticilerin ve üst düzey sistem uzmanlarının da yapmış olduÇu bir takım hatalar mevcut. Elemanlara gerekli eÇitimin verilmemesi, basit şifre kullanılması vb. eksiklikler hacker'ların işini kolaylaştırabiliyor.
Kısaca incelemek gerekirse;• GüvenliÇi muhafaza etmek üzere eÇitimsiz elemanlar almak ve buna raÇmen işin öÇrenilmesi için gerekli eÇitim ve zamanı saÇlamamak.
• Bilgi güvenliÇinin meslek yaşamıyla ilişkisinin ciddiyetinin farkına varmamak.
" Sistemlerdeki olası açıklar için yamalar yüklemek ancak bu yamaların ne kadar güvenli olduÇunu kontrol etmemek.
• Güvenlik duvarına (firewall) birinci dereceden güvenmek. Zira her güvenlik duvarı yazılımı sistemi yüzde 100 korumakla yükümlü deÇildir.
" Bilgiye ve firmalara ilişkin ünün ne kadar deÇerli olduÇunun farkına varamamak.
• Tepkisel ve kısa vadeli çözümlere prim vermek ve bunun sonucu olarak çok geçmeden aynı problemlerle karşılaşmak.
• Sistemleri kuvvetlendirmeden internet aÇına açmak.
• Güvenlik duvarı olan sistemlerde telnet gibi sisteme dışarıdan giriş yapabilen protokollere izin vermek.
• Özellikle ftp, telnet, finger ve rpc gibi her zaman gerekli olmayacak servisleri çalıştırmak.
• Virüs algılama ve koruma yazılımlarını güncellememek.
• Yedeklemeyi muhafaza ve test ederken başarısız olmak.
• Kullanıcılara telefonda şifre vermek veya kullanıcı şifrelerinin deÇiştirilmesi taleplerini ve kişisel istekleri kullanıcı doÇrulanmadan telefonda cevaplamak.
• Kullanıcıları potansiyel bir güvenlik sorunuyla karşılaştıkları zaman ne yapmaları gerektiÇi yolunda eÇitmemek.
• Ve belki de en önemlisi, güvenlik duvarını giriş ve çıkışlardaki tehlikeli trafiÇi engelleyemeyecek kurallarla yürütmek.
Tescilli Bilginin ÇalınmasıKimlik onayıyla birleştirilmiş güçlü şifreleme bu tür saldırılarla mücadelede etkilidir.
Öncelikle bir aÇ ortamında hacker'ların nasıl olup da kullanıcı bilgilerini kullanarak sistemlerden bilgi sızdırabildiÇi inceleyelim. Bu iş aslında çok basit bir mantıÇa dayanmakta, nasıl mı? Hacker kendisini, kullanıcı bilgisayarından çıkan veriler ile bu verileri bekleyen sunucu bilgisayar arasında (bu genellikle ana segment'dir) bulunacak şekilde yerleştirir. Bu işlemi yaparken tabii ki çeşitli yazılımlar hatta yazılımcıklar (script'de denilebilir) kullanırlar. Ve kişiye göre deÇişse de bu işle uÇraşan tüm profesyonel hacker'lar ciddi bir aÇ protokolleri bilgisine sahiptir. Kullanıcı ana sisteme giriş yaptıÇında giriş parolası ve iletilen veri hacker tarafından ele geçirilir. Daha sonra veri deÇiştirilip asıl yönünde yeniden gönderilebilir. Ancak burada hacker için ele geçirilen en önemli bilgi hiç şüphesiz iletilen verinin içeriÇinden önce sisteme giriş parolası olacaktır. Bu sayede hacker her ne kadar parola sahibinin haklarıyla sınırlı kalsa da sunucu üzerindeki işletim sisteminin açıklarından yararlanarak bir şekilde amacına ulaşabilir. Sistem yöneticileri genellikle bu tür saldırılarla mücadele için bir kara liste özelliÇi kullanırlar. Belirli bir sayıdaki başarısız giriş denemelerinden (genellikle üç ile beş arasında) sonra, sistem yöneticisi giriş sayacını sıfırlamadan daha ileri gidilmesi engellenir. Fakat görüldüÇü gibi burada deneme-yanılma yöntemi uygulanmıyor. Sisteme direkt gerçek şifre ile giriş yapılıyor. Çünkü aÇda açık olarak dolaşan şifre hacker tarafından deşifre edilmişti! Peki amaç nedir? Amaç, tescilli bilginin ve tüm veri tabanının bir kopyasını çıkararak daha sonra belki de sistemi kullanılamaz hale getirmektir. DiÇer bir deÇişle çökertmektir. Kimlik onayıyla birleştirilmiş güçlü şifreleme bu tür saldırılarla mücadelede tam olarak etkili olmasa bile büyük ölçüde caydırıcıdır. Ayrıca başında kimsenin bulunmadıÇı bir bilgisayar da her zaman hacker için zevk kaynaÇı olmuştur. Bu özellikle kullanıcıların parolalarını açık bir bilgisayardaki dosya da sakladıÇında böyledir. AÇ da geçirilen kısa bir süre bile hacker'a çalıntı kullanıcı isimleri ve parolaları kullanarak aÇa erişmeyi sürdürmesi için yeterli bilgiyi saÇlayabilir. Sistem sorumlularına bu aşama da düşen görev, kullanıcı PC'lerine erişimi sınırlamak için her zaman bir tür parola kullanılmasını saÇlamak ve asla etkin hale getirmeden bilgisayarlarını boşta bırakmamalarını bir yazılı bildirge ile tüm şirkete duyurmaktır.
PGP bir çözüm olabilir mi?
Verilerinizi kaybedebileceÇiniz on binlerce yol arasında, bilgilerinizi nasıl kendinize saklayabilirsiniz? Tabii ki verilerinizi şifreleyerek ve bunu yapmanın en iyi yollarından biri, Phil Zimmerman'ın "Pretty Good Privacy"sini (PGP) kullanmak olabilir. PGP şu an da net üzerinde en yaygın olarak kullanılan şifreleme yazılımlarından biridir. Şirket yazışmalarına ait e-mail'ler ve doküman paylaşımlarında pratik ama aynı zamanda güçlü bir şifreleme tekniÇi olan PGP'den yararlanılabilir. PGP şu anda, Zimmerman'ın üst düzey görev yaptıÇı Network Associates'in www.nai.com mülkiyetinde. PGP ile ilgili ayrıntılı bilgiye www.pgp.com adresinden ulaşabilirsiniz.
Sonuç ; Aktif veri depolama ünitelerinizin ve sunucularınızın, internal veya external aÇ üzerindeki diÇer sistemlerle arasında bir firewall (kaliteli bir anti-virüs programı ile entegre edilmiş) kurulu olması gerektiÇi ve artık bunun bir zorunluluÇa dönüştüÇü çok açık bir gerçektir. Bu durumda size şöyle bir soru yöneltebiliriz: Çok gizli dokümanlarınızın yanlış ellere geçtiÇini düşünmek içinizde nasıl bir duygu uyandırır? Sorunun cevabı açık, en kısa sürede tedbirinizi alın ya da bir planlama süreci başlatın, geçen her dakika sizin aleyhinize işliyor olabilir! Bu iş için ayıracaÇınız bütçenin boşa gitmeyeceÇinden emin olabilirsiniz
Özellikle son yıllarda ciddi oranda artan tescilli bilginin çalınması, sistem çökertme, denial of service (hizmet durdurma saldırısı) ve diÇer hacker olayları, bu konu üzerinde ürünler geliştiren firmaları oldukça zor durumda bırakıyor. ÖrneÇin x firması yeni çıkarmış olduÇu bir kurumsal firewall'u oldukça güvenilir ve rakipsiz olarak piyasaya lanse ederken, bir süre sonra yine aynı firma, söz konusu ürünün bir çok açıÇının keşfedildiÇini ve bunun üzerine bir patch (yama) çıkarıldıÇını duyuruyor. Bu aslında son derece rutin bir gelişme. Sistemlere sızmanın binbir çeşit yolu varken, fazla bir geçmişi olmayan firewall'ların işin biraz gerisinden gelmesi anlaşılabilir bir olgudur. DiÇer taraftan sistem yöneticilerinin yaptıkları işe yeterince ilgi göstermemesi hacker'ların hep bir adım önde olmalarını saÇlıyor. Sistem yöneticileri ya çok fazla işle uÇraşmak zorunda olduklarından ya da teknolojiyi yeterince yakından takip edememelerinden dolayı sistemlerinde oluşabilecek güvenlik açıklarını ne yazık ki gözden kaçırıyorlar. Belki de çoÇu kişi için bu iş biraz aÇır geliyor. Ancak aÇ güvenliÇi ve dolayısıyla internet güvenliÇi kesinlikle hafife alınabilecek bir iş deÇil.
En Önemli 10 Güvenlik AçıÇıHacker'ların bilgisayar sistemlerine girmek için yaptıkları iş, en bilinen güvenlik deliklerini en çok kullanılan saldırı programları ile kontrol etmekten ibaret. ÖrneÇin Amerika Savunma BakanlıÇı Pentagon'un bilgisayarlarına giren hacker'lar NT sunucuların bir yama ile basitçe tıkanabilecek bir güvenlik deliÇinden faydalanmışlardı. İşte en önemli 10 açık.
1 - BIND (Berkeley Internet Name Domain)
Alan adı servislerinin en çok kullanılanı olan BIND sayesinde web sitelerine erişmek için IP numarası yerine .com, .org, .net ile biten isimler kullanırız. Hacker'lar BIND servisinin zayıf noktalarını bularak kayıtları deÇiştirme yoluyla isimleri istedikleri IP numaralarına yönlendiriyorlar. Ne yazık ki internette kullanılan alan adlarının yarısından fazlası bu saldırılara açık durumda.
2 - Korunmasız CGI ve diÇer web uygulama uzantılarıBir çok web sitesinde etkileşimli formlar ve şifre kontrolü amacı ile kullanılan CGI uygulamaları kimi zaman kötü niyetle kullanılabiliyor. Bir çok programcı yazdıkları kodların hacker'lar tarafından amaç dıışı kullanılabileceÇi konusunda yeterince bilgi sahibi deÇiller. Zayıf CGI kodları ile web sitelerinin veri tabanlarına çok rahatlıkla ulaşılabilir ve kullanıcı şifreleri gibi hassas veriler çalınabilir! Şifre veya kredi kartı gibi kişiye özel verilerin işlendiÇi etkileşimli sitelerde mutlaka SSL (Secure Sockets Layer) teknolojisi veya 128 bit'lik benzer standartlar kullanılmalı.
3 - RPC (Remote Procedure Call)Uzaktan erişim yoluyla bir bilgisayar üzerinden başka bir bilgisayar üzerindeki bir programı çalıştırmaya yarayan RPC komutları hacker'lara korunmasız sistemler üzerinde Root yetkisi veriyor. Belirlenmiş politikalar haricinde izinsiz girişleri tespit edebilen basit bir firewall bu tip denemeleri fazlasıyla bloke edecektir. Ayrıca IP yönünden de bu kişiler tespit edilebilir. Ancak saldırıların büyük çoÇunluÇunun internet kafelerden yapıldıÇı göz önüne alınırsa bu IP bilgilerinin pek fazla deÇeri olmayacaktır.
4 - Microsoft Internet Information Server (IIS) güvenlik deliÇiWindows NT ve 2000 sunucularda çalışan IIS'in uzaktan kontrol özelliÇi sisteme sızmak için potansiyel bir güvenlik deliÇi. Bu açıÇı yoklayarak sisteme girmeyi başaran hacker'lar "Administrator" olarak istediklerini yapma hakkına sahip oluyorlar. IIS 4.0 kullananların en kısa sürede 5.0'a geçmeleri ve çok gerekli deÇilse uzaktan kontrol özelliÇinin devre dışı bırakılması önerilir.
5 - Windows NT Server 4.0 (service pack 7) - Windows 2000 Server (Service pack2)NT Server 4.0 ve 2000'de bulunan kritik güvenlik açıkları Microsoft tarafından şimdilik giderilmiş gözüküyor. Söz konusu yamaları Microsoft'un sitesinden indirerek mutlaka sistemlerinize adapte etmelisiniz. Yazılım firmalarının hata gidermedeki verimlilik oranları (defect removal efficiency) yüzde 99 düzeyindedir.
6 - Sadmind ve mountd komutlarıSolaris işletim sistemi kullanan sunucularda sadmind komutuyla uzaktan erişim hakkı elde eden hacker'lar mountd komutu ile Root yetkisi alıyorlar. Bu işletim sistemini kullanan sunucuların söz konusu açıkları sistem yöneticileri tarafından kapatılmalı. Ayrıca, güvenilir bir firewall ile desteklenmesi de gerekir.
7 - NT, Linux ve Macintosh'larda dosya paylaşımıWindows Netbios, Linux NFS ve AppleShareIP servisleri çoÇu zaman internete açık olan sistemlerde kullanıma hazır duruyor. Sisteme giriş için tek yapılması gereken, IP adreslerini tarayarak açık servisleri bulmak. İşi bilen için gerisi çorap söküÇü gibi gelir. Daha önceki maddelerde de belirtildiÇi gibi gereksiz, kullanılmayan servisleri mutlaka diskalifiye edin. Ayrıca bu tip protokoller aÇa çok fazla yük getirdiÇinden bir anlamda bunun da önüne geçilmiş olur.
8 - Şifresiz veya basit şifreli Root\Administrator yetkileri
ÇoÇu sistem yöneticisinin deÇiştirmeyi unuttuÇu veya sıkça kullanılan şifreler çoÇu hacker'ların sözlüklerinde zaten bulunmakta. Bu işlem tecrübenin de getirdiÇi tahmin gücüyle birleşince, bunları deneyen usta hacker'lar sistemlere şifreleri ile girebiliyorlar. Şifreleme sırasında akılda kalıcı olmayan kombinasyonlar kullanılmalı.
9 - IMAP ve POP e-posta protokolü güvenlik delikleri
E-posta protokolleri olan IMAP ve POP bir dizi güvenlik deliÇi içermekte. Bu protokoller e-posta erişimine izin vermek için firewall'lar tarafından açık bırakılır. Ancak bu servisler üzerinden sisteme giriş yapan hacker kendini Root yetkisi ile donatabiliyor. Bu açıÇın tehlikesi mevcut firewall'un mimarisi ile orantılıdır. Bu da seçilecek firewall'un kendini kanıtlamış bir ürün olması gerektiÇini ortaya koyar.
10 - SNMP (Simple Network Management Protocol)
AÇ yöneticilerinin ve çeşitli aÇ izleme araçlarının, sistemi izlemek ve yönetmek için kullandıkları SNMP protokolü çoÇu zaman şifresiz paketler yolu ile haberleşir. Bunlara erişebilen veya mevcut paketleri deşifre edebilen hacker tüm aÇ hakkında çok deÇerli bilgiler edinebilir. Tek çözüm yasadışı sniffer'lara karşı ilan edilmemiş denetimler gerçekleştirilmesini saÇlamaktır.
Tüm bunlara ilave olarak her geçen gün yeni saldırı yöntemleri geliştirilmekte olup dolayısıyla yeni açıklar ortaya çıkmaktadır. Bu tip potansiyel güvenlik açıklarını yakından takip etmek isteyenler SANS Enstitüsü'nün sitesinden yararlanabilirler. 96 bin sistem yöneticisinden kurulu bir platform olan SANS, internet üzerinde oluşturulması gereken güvenlik standartları hakkında bilgi topluyor ve sitesinde tavsiye niteliÇinde açıklamalarda bulunuyor. SANS Enstitüsü'ne www.sans.org adresinden ulaşabilirsiniz.
Yöneticilerin ve sistem uzmanlarının hatalarıGüvenlik açıklarının yanında yöneticilerin ve üst düzey sistem uzmanlarının da yapmış olduÇu bir takım hatalar mevcut. Elemanlara gerekli eÇitimin verilmemesi, basit şifre kullanılması vb. eksiklikler hacker'ların işini kolaylaştırabiliyor.
Kısaca incelemek gerekirse;• GüvenliÇi muhafaza etmek üzere eÇitimsiz elemanlar almak ve buna raÇmen işin öÇrenilmesi için gerekli eÇitim ve zamanı saÇlamamak.
• Bilgi güvenliÇinin meslek yaşamıyla ilişkisinin ciddiyetinin farkına varmamak.
" Sistemlerdeki olası açıklar için yamalar yüklemek ancak bu yamaların ne kadar güvenli olduÇunu kontrol etmemek.
• Güvenlik duvarına (firewall) birinci dereceden güvenmek. Zira her güvenlik duvarı yazılımı sistemi yüzde 100 korumakla yükümlü deÇildir.
" Bilgiye ve firmalara ilişkin ünün ne kadar deÇerli olduÇunun farkına varamamak.
• Tepkisel ve kısa vadeli çözümlere prim vermek ve bunun sonucu olarak çok geçmeden aynı problemlerle karşılaşmak.
• Sistemleri kuvvetlendirmeden internet aÇına açmak.
• Güvenlik duvarı olan sistemlerde telnet gibi sisteme dışarıdan giriş yapabilen protokollere izin vermek.
• Özellikle ftp, telnet, finger ve rpc gibi her zaman gerekli olmayacak servisleri çalıştırmak.
• Virüs algılama ve koruma yazılımlarını güncellememek.
• Yedeklemeyi muhafaza ve test ederken başarısız olmak.
• Kullanıcılara telefonda şifre vermek veya kullanıcı şifrelerinin deÇiştirilmesi taleplerini ve kişisel istekleri kullanıcı doÇrulanmadan telefonda cevaplamak.
• Kullanıcıları potansiyel bir güvenlik sorunuyla karşılaştıkları zaman ne yapmaları gerektiÇi yolunda eÇitmemek.
• Ve belki de en önemlisi, güvenlik duvarını giriş ve çıkışlardaki tehlikeli trafiÇi engelleyemeyecek kurallarla yürütmek.
Tescilli Bilginin ÇalınmasıKimlik onayıyla birleştirilmiş güçlü şifreleme bu tür saldırılarla mücadelede etkilidir.
Öncelikle bir aÇ ortamında hacker'ların nasıl olup da kullanıcı bilgilerini kullanarak sistemlerden bilgi sızdırabildiÇi inceleyelim. Bu iş aslında çok basit bir mantıÇa dayanmakta, nasıl mı? Hacker kendisini, kullanıcı bilgisayarından çıkan veriler ile bu verileri bekleyen sunucu bilgisayar arasında (bu genellikle ana segment'dir) bulunacak şekilde yerleştirir. Bu işlemi yaparken tabii ki çeşitli yazılımlar hatta yazılımcıklar (script'de denilebilir) kullanırlar. Ve kişiye göre deÇişse de bu işle uÇraşan tüm profesyonel hacker'lar ciddi bir aÇ protokolleri bilgisine sahiptir. Kullanıcı ana sisteme giriş yaptıÇında giriş parolası ve iletilen veri hacker tarafından ele geçirilir. Daha sonra veri deÇiştirilip asıl yönünde yeniden gönderilebilir. Ancak burada hacker için ele geçirilen en önemli bilgi hiç şüphesiz iletilen verinin içeriÇinden önce sisteme giriş parolası olacaktır. Bu sayede hacker her ne kadar parola sahibinin haklarıyla sınırlı kalsa da sunucu üzerindeki işletim sisteminin açıklarından yararlanarak bir şekilde amacına ulaşabilir. Sistem yöneticileri genellikle bu tür saldırılarla mücadele için bir kara liste özelliÇi kullanırlar. Belirli bir sayıdaki başarısız giriş denemelerinden (genellikle üç ile beş arasında) sonra, sistem yöneticisi giriş sayacını sıfırlamadan daha ileri gidilmesi engellenir. Fakat görüldüÇü gibi burada deneme-yanılma yöntemi uygulanmıyor. Sisteme direkt gerçek şifre ile giriş yapılıyor. Çünkü aÇda açık olarak dolaşan şifre hacker tarafından deşifre edilmişti! Peki amaç nedir? Amaç, tescilli bilginin ve tüm veri tabanının bir kopyasını çıkararak daha sonra belki de sistemi kullanılamaz hale getirmektir. DiÇer bir deÇişle çökertmektir. Kimlik onayıyla birleştirilmiş güçlü şifreleme bu tür saldırılarla mücadelede tam olarak etkili olmasa bile büyük ölçüde caydırıcıdır. Ayrıca başında kimsenin bulunmadıÇı bir bilgisayar da her zaman hacker için zevk kaynaÇı olmuştur. Bu özellikle kullanıcıların parolalarını açık bir bilgisayardaki dosya da sakladıÇında böyledir. AÇ da geçirilen kısa bir süre bile hacker'a çalıntı kullanıcı isimleri ve parolaları kullanarak aÇa erişmeyi sürdürmesi için yeterli bilgiyi saÇlayabilir. Sistem sorumlularına bu aşama da düşen görev, kullanıcı PC'lerine erişimi sınırlamak için her zaman bir tür parola kullanılmasını saÇlamak ve asla etkin hale getirmeden bilgisayarlarını boşta bırakmamalarını bir yazılı bildirge ile tüm şirkete duyurmaktır.
PGP bir çözüm olabilir mi?
Verilerinizi kaybedebileceÇiniz on binlerce yol arasında, bilgilerinizi nasıl kendinize saklayabilirsiniz? Tabii ki verilerinizi şifreleyerek ve bunu yapmanın en iyi yollarından biri, Phil Zimmerman'ın "Pretty Good Privacy"sini (PGP) kullanmak olabilir. PGP şu an da net üzerinde en yaygın olarak kullanılan şifreleme yazılımlarından biridir. Şirket yazışmalarına ait e-mail'ler ve doküman paylaşımlarında pratik ama aynı zamanda güçlü bir şifreleme tekniÇi olan PGP'den yararlanılabilir. PGP şu anda, Zimmerman'ın üst düzey görev yaptıÇı Network Associates'in www.nai.com mülkiyetinde. PGP ile ilgili ayrıntılı bilgiye www.pgp.com adresinden ulaşabilirsiniz.
Sonuç ; Aktif veri depolama ünitelerinizin ve sunucularınızın, internal veya external aÇ üzerindeki diÇer sistemlerle arasında bir firewall (kaliteli bir anti-virüs programı ile entegre edilmiş) kurulu olması gerektiÇi ve artık bunun bir zorunluluÇa dönüştüÇü çok açık bir gerçektir. Bu durumda size şöyle bir soru yöneltebiliriz: Çok gizli dokümanlarınızın yanlış ellere geçtiÇini düşünmek içinizde nasıl bir duygu uyandırır? Sorunun cevabı açık, en kısa sürede tedbirinizi alın ya da bir planlama süreci başlatın, geçen her dakika sizin aleyhinize işliyor olabilir! Bu iş için ayıracaÇınız bütçenin boşa gitmeyeceÇinden emin olabilirsiniz