Dayıoğlu Günlüğü

13 ve 15 Haziran’da sırası ile İstanbul ve Ankara’da düzenlediğimiz iki etkinlik ile Fortify ile iş ortaklığımızı duyurduk, çözümleri anlattık. Fortify’ın doğru üretici, ürünlerin doğru ürünler olduğunu ve ilgi göreceğimizi bekliyordum ama doğrusu beklediğimden de çok ilgi gördük. Mutluluğumu tahmin bile edemezsiniz.

İstanbul’daki etkinlik daha bitmeden bir sonraki gün için dört PoC toplantısı ayarlamıştık bile. İstanbul toplantısının ardından gittiğimiz dört büyük kuruluşta kısa süreli PoC’ler ile kaynak kod incelemesinin onlara sağlayacağı katma değeri somut olarak göstermeye çalıştık.

İki büyük bankada internet bankacılığı uygulamaları üzerinde Fortify SCA’yı çalıştırdık ve inanılmaz sonuçlara ulaştık. SCA yüzlerce kritik güvenlik problemi buldu ve raporladı. Kabaca 15-20dk’lık çalışma süresinde bu kadar çok problem bulmasını gerçekten ben de beklemiyordum, sonuçlar inanılmazdı. Fortify’ın en yakın rakibinden neden açık ara önde olduğunu da canlı olarak görmüş olduk.

Yazılım güvenliği problemlerini daha yazılım geliştirme aşamasında bulabilmek ve iyileştirebilmek muhteşem bir fikir ve Fortify bunu gerçekten süper yapıyor.

Bir süredir Pro-G web sitesini yenilemek üzere çalışıyorum, yoğunluktan çok da başarılı olduğum söylenemez. Görsel tasarımını değiştirmek, renkli-resimli bir şeyler yapmaktan çok siteyi bir içerik yönetim sisteminin üzerine taşımayı planlıyoruz.

Siteyi bir içerik yönetim sistemi üzerine taşımayı ilk teklif ettiğimde ekipten hemen herkes zafiyeti çıktığı zaman ne yapacağız? diyerek itiraz etmişti. Çok sürmeden Can ve Sezai ile birlikte güvenlik problemlerinin de olmayacağı bir kurgu hazırlamıştık. İki sistemden oluşan bir konfigürasyon planlıyoruz. İçeride, yalnızca Pro-G uzmanlarının erişebileceği bir CMS işletiyor olacağız. Wordpress ve Drupal alternatifleri üzerinde çalışıyoruz. İnternet’ten erişilebilen ve DMZ’de yer alan web sunucumuzun üzerinde periyodik olarak yansılama süreci çalıştırmayı ve CMS üzerindeki tüm içeriği wget vb. bir yansılama programı ile kopyalayarak statik içeriğe dönüştürmeyi planlıyoruz.

Bu yolla İnternet’ten kötüye kullanılma ihtimali olan bir yazılım söz konusu olmaksızın bizim içeriğini rahat yönettiğimiz bir web sitesine sahip olabileceğimizi düşünüyoruz. Site içerisinde arama, yorum gönderme vb. özelliklerimiz olamayacak ama her şey planladığımız gibi giderse sonunda oldukça güvenli ve pratik biçimde yönetilebilen bir web sitesine sahip olacağız.

Adına karar verilmemiş olsa da ülke güvenliği ya da Amerikanvari söyleyişi ile anayurt güvenliği bir süredir üzerinde sıkça konuşulan ve yazılan bir konu haline geldi. Amerika’da 11 Eylül’den sonra bu konudaki gelişmeleri elden geldiğince izlemeye, ilgili konferansların proceeding’lerini gözden geçirmeye çalışmıştım. Konunun ciddi bir faz farkıyla da olsa Türkiye’de de önemli bir konu başlığı olarak ele alınmasından çok ama çok mutluyum.

Umarım bu kıpırdanma tehditleri analiz edecek, riskleri önceliklendirecek ve salt teknoloji yatırımı olarak görülmeyecek bir çalışmalar dizisinin başlangıcı olur. Konu salt terörle mücadele olmasa da etkin bir anayurt güvenliği konsepti Anafartalar Çarşısı’ndaki son bombalama öncesinde elimizi güçlendirebilirdi.

BTHaber’in 21-27 Mayıs haftası için çıkan nüshasının ekinde de bir Ülke Güvenliği özel eki vardı. Dikkatimi çeken kritik altyapının korunması (critical infrastructure protection) ve siber uzayda koruma konularına çok çok az değinilmiş olmasıydı. Umarım ülke stratejimiz oluşturulurken bu bileşenler göz ardı edilmez. Konuya ilgi duyanlara Amerikan Hükümetinin Siberuzayın Güvenli Hale Getirilmesi için Ulusal Strateji raporuna ve George Mason Üniversitesi’nin Kritik Altyapı Koruma Programı sitesi ve raporlarına göz gezdirerek başlamalarını önerebilirim.

İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkındaki Kanun maalesef dün Cumhurbaşkanı tarafından onaylandı ve yayınlandı. Türkiye’nin hilkat garibesi kanunlarından birisinin de bu olacağını düşünüyorum, uygulanması pratikte mümkün olmayan abuk bir engelleme yasası olacak.

Yasa uyarınca Telekomünikasyon Kurumu çocuk pornografisi ve müstehcenlik ile ilgili siteler ile ilgili yasaklama kararı verebilecek ve ISP’ler ile ortaklaşa şekilde erişim yasağını uygulamaya koyabilecek. Teknik olarak erişim yasaklamasının ne kadar uygulanabilir olup olmadığından bağımsız olarak, neyin müstehcen sayılıp neyin sayılmayacağı konusunda ciddi problemlerimizin olacağını düşünüyorum. Hele ki neyin müstehcen olacağına mahkeme değil de bir idari birim karar verince durum daha vahim olabilir. Konunun ilgilisi Telekomünikasyon Kurumu olmasaydı da aynı şekilde düşünüyor olacaktım.

Böyle bir kanunun benzeri başka hangi ülkelerde var merak ediyorum, bilen varsa ve paylaşırsa sevinirim. Durum pek keyifsiz, çok canım sıkıldı. Merak edenler kanun metnini buradan, Bilişim STK’larının kanun tasarısına itirazını ve gerekçelerini buradan ve konu ile ilgili Turk.Internet.Com haberini de buradan okuyabilirsiniz.

Kısa bir süre önce üyesi olduğum bir derneğin üye veritabanı içerisindeki tüm bilgiler ile birlikte çalındı. Yüksek olasılıkla yalnızca bir sefer değil, problem fark edilene değin birden fazla kez çalındı. Yaşanan problem ve sonrasındaki eylemler dizisinden çıkartılabilecek iki önemli ders var: (i) yazılımları güvenli geliştirmezseniz canınız yanar ve (ii) güvenlik ihlallerine ilişkin acil durumları nasıl yöneteceğinize ilişkin planlarınız yoksa günü geldiğinde dağılıverirsiniz.

Bu yazıda çok kısaca derneğin başını derde sokan, başka yerlerde de çok sık karşılaştığımız, güvenlik hatalarından söz etmeye çalışacağım. Derneğin adını vermeyeceğim ama dernek problemle ilgili olarak tüm üyelerini bilgilendirdiği için zaten biliyor olduğunuzu da tahmin ediyorum.

Derneğin üyelik yönetimi yazılımı internete açık şekilde çalışıyordu ve yazılımın iki büyük hatası bizi çok zor durumda bıraktı. Birinci hata yazılımın doğru ve eksiksiz biçimde girdi denetimi yapamıyor olmasıydı. Kullanıcıdan alınan girdilerin pozitif kontrol listeleri ile denetlenmesi ve ancak uygunluğundan emin olunduktan sonra işleme tabi tutulması temel bir gereksinim olmasına rağmen bu yapılmamıştı. Saldırgan basit bir SQL sokuşturma saldırısı ile veritabanı üzerinde dilediği gibi select cümlecikleri çalıştırıverdi.

Girdi denetimi problemlerinin etkisini azaltmak için depolanmış prosedür (stored procedure) kullanımı ve hazırlanmış SQL cümlecikleri (prepared SQL statements) kullanımı gibi savunma derinliği oluşturacak hazırlıklar da yapılmamıştı. Bütün bunların sonucunda SQL sokuşturması saldırgan açısından çok kolay gerçekleşti.

İkinci büyük hata yazılımın üyelere ait parolaları açık metin halinde depolamasıydı. Veritabanında üye parolalarının açık metin halinde depolanması, veritabanı yöneticisinin ya da bir biçimde veritabanına erişim elde eden herkesin bu parolaların tümünü bir çarşaf liste halinde görebilmesine imkan veriyordu. Saldırgan SQL sokuşturması ile veritabanında dilediği gibi select cümlecikleri çalıştırmayı başarınca üyelerin parolalarını da toparlayıverdi. Parolaların tek yönlü şifrelenmiş ya da özetlenmiş biçimde depolanması (geriye açık metine dönüştürülemez halde olması) temel bir gereksinimken bu da yapılmamıştı.

Problemin varlığı keşfedildiğinde atı alan Üsküdar’ı geçmiş, veriler çalınmıştı. Üyelerin parolalarını toparlayan saldırgan bu parolaları Hotmail, Yahoo, MySpace vb. popüler sitelerde deneyebilecek hale gelmişti. Güvenlik ihlalinin etkin biçimde yönetilememesi sonucunda Dernek Yönetimi problemi üyelerine duyurmakta bir kaç gün geç kaldı. Bunun olumsuz bir sonucu olarak parolalarımız bir kaç gün daha fazla İnternet’te dolaştı. Dernek yönetiminin durumu kontrol altına almak, hatayı gidermek ve duyuruyu yapmak noktasındaki gecikmesi tümüyle hazırlıksız yakalanmalarının bir sonucu olarak gerçekleşti.

Umarım bu küçük hikaye hepimize güzel bir ders olur…

Pro-G olarak yazılım güvenliği konusuna özel bir ilgi gösterdiğimiz malum, bu konunun BT güvenliğinin en önemli alanı olduğunu düşünüyoruz. Keşke ağları ve sistemleri güvenli kılabildiğimiz kadar kolayca yazılımlarımızı da güvenli kılabilsek, güvenlik hatalarından arındırabilsek. Ne yazık ki bugün kullandığımız teknikler ve yaklaşımlar ile sıfır hata ile kod üretmek mümkün değil.

Fortify işte tam bu noktada yazılım güvenliği sektörünün pazar lideri kuruluşu olarak stratejik öneme sahip üç yazılım güvenliği ürününü geliştiriyor ve bizim gibi iş ortakları aracılığı ile teknolojisini kiralıyor ve/veya satıyor. Microsoft, Oracle, CA, Symantec gibi yazılım sektörünün en büyük firmalarının geliştirme süreçleri içerisinde kullandığı Fortify ürünleri Haziran ayı ortasından itibaren Türkiye’de de erişilebilir olacak.

Fortify’ın lider ürünü olan SCA (source code analysis) yazılımları kaynak kod düzeyinde inceliyor ve güvenlik hatalarını tespit ederek iyileştirici öneriler ile birlikte raporluyor. SCA, .Net, Java, C, PL/SQL gibi çok sayıda farklı platformu ya da dili anlıyor ve bunların bir karışımı olan yazılımlarda bile çalıştırılabiliyor. SCA sayesinde daha önce 3-4 haftalık sürelerde gerçekleştirdiğimiz 200-250K satırlık kaynak kod güvenlik incelemelerini saatler mertebesinde kısa sürelerde gerçekleştirmek ve sonuçlarından rapor üretmek mümkün oluyor. Bu ürünün finans, savunma sanayii, e-iş ve telekomünikasyon gibi sektörler açısından çok önemli bir boşluğu dolduracağını düşünüyoruz.

Fortify’ın bir diğer ürünü olan Defender bir web uygulama güvenlik duvarı (web application firewall). Yalnızca Java ve .Net uygulamalarını destekliyor. Şimdiye kadar gördüğümüz ya da bildiğimiz web uygulama güvenlik duvarlarından farklı olarak Defender uygulamanın binary’sinin içerisine gömülüyor. Uygulamanızı derledikten sonra bir de Defender’dan geçiriyorsunuz ve Defender uygulamanızın içerisine güvenlik duvarını yerleştiriveriyor. Güvenlik duvarı yönetimini, uygulamaya dokunmadan, dışarıdan ve bir web arayüzü ile yapmaya da devam edebiliyorsunuz. Defender’ın da ayrı bir makina gerektirmemesi ve performans avantajları nedeniyle önemli bir ürün olacağını düşünüyoruz.

Fortify’ın üçüncü ürünü olan Tracer da uygulama penetrasyon testleri için kapsama yönetimi (coverage management) yapmaya yarıyor. Bir pen-test’in uygulamanın hangi noktalarına dokunup hangilerine dokunmadığını belirlemeye ve raporlamaya yarıyor.

Son beş-altı senedir beni bu denli heyecanlandıran bir başka teknoloji olmamıştı, çok başarılı olacağımızdan hiç şüphe duymuyorum. Haziran’ın 13′ünde İstanbul’da, 15′inde ise Ankara’da dar katılımlı birer duyuru toplantısı düzenleyecek ve bu teknoloji ile ilgileneceğini düşündüğümüz kuruluşlara Hollanda’dan gelecek Fortify uzmanları ile birlikte ürünleri tanıtıyor olacağız.