Dayıoğlu Günlüğü

Microsoft’un yeni Surface (yüzey) bilgisayarı ve yazılım seti epey ilgi çekecek gibi görünüyor. Bugün haberlerini duyduktan sonra bir kaç videosunu da izledim, pek eğlenceli. Bu adamlar HCI işini çok iyi biliyor ve çok da güzel kullanıyor.

Bir süredir Pro-G web sitesini yenilemek üzere çalışıyorum, yoğunluktan çok da başarılı olduğum söylenemez. Görsel tasarımını değiştirmek, renkli-resimli bir şeyler yapmaktan çok siteyi bir içerik yönetim sisteminin üzerine taşımayı planlıyoruz.

Siteyi bir içerik yönetim sistemi üzerine taşımayı ilk teklif ettiğimde ekipten hemen herkes zafiyeti çıktığı zaman ne yapacağız? diyerek itiraz etmişti. Çok sürmeden Can ve Sezai ile birlikte güvenlik problemlerinin de olmayacağı bir kurgu hazırlamıştık. İki sistemden oluşan bir konfigürasyon planlıyoruz. İçeride, yalnızca Pro-G uzmanlarının erişebileceği bir CMS işletiyor olacağız. Wordpress ve Drupal alternatifleri üzerinde çalışıyoruz. İnternet’ten erişilebilen ve DMZ’de yer alan web sunucumuzun üzerinde periyodik olarak yansılama süreci çalıştırmayı ve CMS üzerindeki tüm içeriği wget vb. bir yansılama programı ile kopyalayarak statik içeriğe dönüştürmeyi planlıyoruz.

Bu yolla İnternet’ten kötüye kullanılma ihtimali olan bir yazılım söz konusu olmaksızın bizim içeriğini rahat yönettiğimiz bir web sitesine sahip olabileceğimizi düşünüyoruz. Site içerisinde arama, yorum gönderme vb. özelliklerimiz olamayacak ama her şey planladığımız gibi giderse sonunda oldukça güvenli ve pratik biçimde yönetilebilen bir web sitesine sahip olacağız.

Daha önce yürürlüğe giren İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkındaki Kanun‘dan söz etmiştim, bu kanun için hala hayıflanıyorum.

Bugün gecikmiş bir şekilde de olsa Mart ayında Yunanlı kendini bilmezlerin YouTube’da Atatürk’e hakareti ile başlayan YouTube engellemesi sonrasında Wired’dan Ryan Singel’ın yazdığı bir küçük makaleye gözüm ilişti. Singel Wired gibi popüler bir ortamda Türkiye’nin YouTube Engellemesi Nasıl Aşılır başlıklı bir makale yazmış, altında da yorumları var. Bu abuk yasaya ve bundan sonrasında göreceğimiz benzeri haberlere nasıl hayıflanmayalım? Biz Arap ülkesi değiliz; moderniz, Avrupaiyiz diye kime ne anlatacağız bundan böyle? Off off…

Ne olacak halimiz bilmiyorum. Pro-G ekibini ne zaman büyütmeye kalksak karnıma ağrılar giriyor, bu ara gene sıkıntılıyım. Ankara ofisimizde çalışmak üzere Satış Müdürü ve Satış Yöneticileri, yine Ankara’da denetim ekibimizde çalışmak üzere Sistem ve Güvenlik Mühendisleri, Ankara ve İstanbul’da üst uç bilişim güvenliği ürünleri ile ilgili ürün tabanlı hizmetler için Sistem ve Güvenlik Uzmanları arıyoruz.

Maalesef yine karalar bağlamış durumdam, elimizde değerlendirme için oldukça az sayıda CV var. Bu konuda hizmet aldığımız Kariyer.Net’ten de memnun değilim, çok CV geliyor ama bizim yayınladığımız tariflere uyan CV çok ama çok az. Sanırım Kariyer.Net bizim sektör için en uygun adres değil ama hangisi en uygun onu da bilmiyorum. İlk fırsatta Jobula’yı denemeye niyetim var ama mevcut sözleşmemiz nedeniyle bir süre daha Kariyer.Net’i kullanmak durumundayız. Kariyer siteleri ile ilgili önerileriniz varsa duymak isterim.

Adına karar verilmemiş olsa da ülke güvenliği ya da Amerikanvari söyleyişi ile anayurt güvenliği bir süredir üzerinde sıkça konuşulan ve yazılan bir konu haline geldi. Amerika’da 11 Eylül’den sonra bu konudaki gelişmeleri elden geldiğince izlemeye, ilgili konferansların proceeding’lerini gözden geçirmeye çalışmıştım. Konunun ciddi bir faz farkıyla da olsa Türkiye’de de önemli bir konu başlığı olarak ele alınmasından çok ama çok mutluyum.

Umarım bu kıpırdanma tehditleri analiz edecek, riskleri önceliklendirecek ve salt teknoloji yatırımı olarak görülmeyecek bir çalışmalar dizisinin başlangıcı olur. Konu salt terörle mücadele olmasa da etkin bir anayurt güvenliği konsepti Anafartalar Çarşısı’ndaki son bombalama öncesinde elimizi güçlendirebilirdi.

BTHaber’in 21-27 Mayıs haftası için çıkan nüshasının ekinde de bir Ülke Güvenliği özel eki vardı. Dikkatimi çeken kritik altyapının korunması (critical infrastructure protection) ve siber uzayda koruma konularına çok çok az değinilmiş olmasıydı. Umarım ülke stratejimiz oluşturulurken bu bileşenler göz ardı edilmez. Konuya ilgi duyanlara Amerikan Hükümetinin Siberuzayın Güvenli Hale Getirilmesi için Ulusal Strateji raporuna ve George Mason Üniversitesi’nin Kritik Altyapı Koruma Programı sitesi ve raporlarına göz gezdirerek başlamalarını önerebilirim.

İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkındaki Kanun maalesef dün Cumhurbaşkanı tarafından onaylandı ve yayınlandı. Türkiye’nin hilkat garibesi kanunlarından birisinin de bu olacağını düşünüyorum, uygulanması pratikte mümkün olmayan abuk bir engelleme yasası olacak.

Yasa uyarınca Telekomünikasyon Kurumu çocuk pornografisi ve müstehcenlik ile ilgili siteler ile ilgili yasaklama kararı verebilecek ve ISP’ler ile ortaklaşa şekilde erişim yasağını uygulamaya koyabilecek. Teknik olarak erişim yasaklamasının ne kadar uygulanabilir olup olmadığından bağımsız olarak, neyin müstehcen sayılıp neyin sayılmayacağı konusunda ciddi problemlerimizin olacağını düşünüyorum. Hele ki neyin müstehcen olacağına mahkeme değil de bir idari birim karar verince durum daha vahim olabilir. Konunun ilgilisi Telekomünikasyon Kurumu olmasaydı da aynı şekilde düşünüyor olacaktım.

Böyle bir kanunun benzeri başka hangi ülkelerde var merak ediyorum, bilen varsa ve paylaşırsa sevinirim. Durum pek keyifsiz, çok canım sıkıldı. Merak edenler kanun metnini buradan, Bilişim STK’larının kanun tasarısına itirazını ve gerekçelerini buradan ve konu ile ilgili Turk.Internet.Com haberini de buradan okuyabilirsiniz.

Kısa bir süre önce üyesi olduğum bir derneğin üye veritabanı içerisindeki tüm bilgiler ile birlikte çalındı. Yüksek olasılıkla yalnızca bir sefer değil, problem fark edilene değin birden fazla kez çalındı. Yaşanan problem ve sonrasındaki eylemler dizisinden çıkartılabilecek iki önemli ders var: (i) yazılımları güvenli geliştirmezseniz canınız yanar ve (ii) güvenlik ihlallerine ilişkin acil durumları nasıl yöneteceğinize ilişkin planlarınız yoksa günü geldiğinde dağılıverirsiniz.

Bu yazıda çok kısaca derneğin başını derde sokan, başka yerlerde de çok sık karşılaştığımız, güvenlik hatalarından söz etmeye çalışacağım. Derneğin adını vermeyeceğim ama dernek problemle ilgili olarak tüm üyelerini bilgilendirdiği için zaten biliyor olduğunuzu da tahmin ediyorum.

Derneğin üyelik yönetimi yazılımı internete açık şekilde çalışıyordu ve yazılımın iki büyük hatası bizi çok zor durumda bıraktı. Birinci hata yazılımın doğru ve eksiksiz biçimde girdi denetimi yapamıyor olmasıydı. Kullanıcıdan alınan girdilerin pozitif kontrol listeleri ile denetlenmesi ve ancak uygunluğundan emin olunduktan sonra işleme tabi tutulması temel bir gereksinim olmasına rağmen bu yapılmamıştı. Saldırgan basit bir SQL sokuşturma saldırısı ile veritabanı üzerinde dilediği gibi select cümlecikleri çalıştırıverdi.

Girdi denetimi problemlerinin etkisini azaltmak için depolanmış prosedür (stored procedure) kullanımı ve hazırlanmış SQL cümlecikleri (prepared SQL statements) kullanımı gibi savunma derinliği oluşturacak hazırlıklar da yapılmamıştı. Bütün bunların sonucunda SQL sokuşturması saldırgan açısından çok kolay gerçekleşti.

İkinci büyük hata yazılımın üyelere ait parolaları açık metin halinde depolamasıydı. Veritabanında üye parolalarının açık metin halinde depolanması, veritabanı yöneticisinin ya da bir biçimde veritabanına erişim elde eden herkesin bu parolaların tümünü bir çarşaf liste halinde görebilmesine imkan veriyordu. Saldırgan SQL sokuşturması ile veritabanında dilediği gibi select cümlecikleri çalıştırmayı başarınca üyelerin parolalarını da toparlayıverdi. Parolaların tek yönlü şifrelenmiş ya da özetlenmiş biçimde depolanması (geriye açık metine dönüştürülemez halde olması) temel bir gereksinimken bu da yapılmamıştı.

Problemin varlığı keşfedildiğinde atı alan Üsküdar’ı geçmiş, veriler çalınmıştı. Üyelerin parolalarını toparlayan saldırgan bu parolaları Hotmail, Yahoo, MySpace vb. popüler sitelerde deneyebilecek hale gelmişti. Güvenlik ihlalinin etkin biçimde yönetilememesi sonucunda Dernek Yönetimi problemi üyelerine duyurmakta bir kaç gün geç kaldı. Bunun olumsuz bir sonucu olarak parolalarımız bir kaç gün daha fazla İnternet’te dolaştı. Dernek yönetiminin durumu kontrol altına almak, hatayı gidermek ve duyuruyu yapmak noktasındaki gecikmesi tümüyle hazırlıksız yakalanmalarının bir sonucu olarak gerçekleşti.

Umarım bu küçük hikaye hepimize güzel bir ders olur…