Pazar, Ağustos 20, 2006

Neden Web Sitesi Güvenliği

Tele.com.tr Eylül sayısında, neden web sitesi güvenliğinin gerektiğini inceliyoruz. Her ne kadar yazı yayınlanmak için yollanmış da olsa, yorum olarak bu konuyla ilgili fikirlerinizi iletirseniz sevinirim. Yazının özeti aşağıda:

Günümüzde World Wide Web (WWW), güncel ve doğru bilgiyi insanlara ulaştırmak için en kolay ve en etkin yöntem olarak karşımıza çıkmakta. Kurulan bir web sunucusu ve içine hazırlanan site içeriği üzerinden, kurumunuz hakkında bilgiyi sunabilir ve ticaret yapabilirsiniz. Bu kolaylık sonunda, birçok ağ cihazı, 3G cep telefonları, UPS, kamera ve hatta çok ilginç birçok cihazın da üzerlerinde web sunucusu gelmeye başlamıştır.

Web servisleri, doğaları gereği kendilerine gelen http isteklerini karşılamak zorundadır. Web sunucularına gelen http istekleri, geleneksel ağ güvenlik duvarları (firewall) tarafından incelenmemektedir. Bu istekler içerisinde olabilecek saldırı kodları, http istekleri içinde gömülmüş olacaklarından geleneksel yöntemlerle tespit edilemezler.

Web sitesi saldırıları (web defacement) her geçen gün artıyor. Bu artışın asıl nedeninin, web sitesi güvenliğinin yeterince ciddiye alınmaması olduğunu düşünüyorum. Öncelikle web siteleri hızlı bir şekilde hazırlanıp sunulmaktadır. Özellikle forum, hazır web portal yazılımları; dinamik içerik sağlamak için veritabanı desteği sağlayan uygulama kodları (php, asp, jsp, cgi … vb) web sitesinin en zayıf halkalarını oluşturuyorlar. Tabii ki bu siteler hazırlanırken hiçbir güvenlik kontrolünün yapılmadığını, kodlarda kullanıcıdan girdi alınan kısımlarda, alınan verinin hiç kontrol edilmediğini gözlemliyoruz. Saldırgan tarafından kodlara kasıtlı verilen değişik girdiler sonucunda hata sonuçlarının da direkt sayfaya basılması, saldırgana bilgi sağlamaktadır.

Büyük kurumsal ağlarda, sunucuların ve üzerlerinde çalışan uygulamaların sayısının artması ile sorunun arttığı gözlemlenmektedir. Bu tür sistemlerde en büyük sorunun, bu büyük ağlardaki hangi sistemin üzerinde ne çalıştığının tam olarak bilinmemesi olduğunu düşünüyorum. Bu büyük ağlarda, sunucuların hepsinin zamanında patch’lenmesi, log’ların takip edilmesi, uygulamaların kontrol edilmesi her zaman mümkün olamamaktadır. Bu sunucuların farklı kişiler tarafından yönetildiği durumlarda, idari sorunlar da olabilmektedir.

Yazıda http://www.zone-h.org ve http://www.grisapka.org siteleri hakkında da bilgiler verilmekte.

Sonuçta web saldırısı bir suç, dünyanın birçok yerinde cezası da bulunmakta. Adalet bakanlığının bilgisayar korsanlığı konusunda yeni çalışmaları var.

Adminler ve kurumlar, yeterince önlem almadıkları için bu durumda yönetim zafiyeti içerisindeler.

Kurumlar, bu tür web siteleri saldırıları sonucunda ciddi itibar kaybına uğramaktadır.



1 yorum:

Enisk dedi ki...

İlginç bir edit, aklımıza gelen başımıza geldi.

yani aklımıza gelen, şu an itibariyle başımıza da geldi ...

Ege Üniversitesi'nde cok sayida web sunucu var ve ne yazik ki hepsi bizim
(kampüs network yönetim grubu) tarafimizdan yonetilmiyor. Uyarmama ragmen
gerekli duzenlemeleri de yapmadiklarindan bizim de grisapka listesine
girmemiz an meselesiydi. Hatta guvenlik onlemlerini almayan web sitelerini
de kapatmak uzereydim ve uyari mesajlarini da yazmistim :)

Bu arada, butun kampus agini tarayip duzenli olarak raporla web sitesi
yoneticilerini uyaracak ve uyarilar cozume olasmazsa sitelerini kapatacak
bir sistem gelistiriyoruz ve yakinda devrede olacak.

Ufak bir duzeltme:
URL www.ege.edu.tr degildir, bizim ana sunucu degil baska alt sunucular
xss 'e maruz kalmistir.