Sistemini sadece eğlence ve iş amaçlı kullanan çoğunluğun, belirli bir düzeyde bilişim bilgisi sahibi olması kabul edilebilir bir durumdur ve bizlerin bu tabakaya sahip olduğu bilgi düzeyi ile ilgili bir eleştirisi olamaz. Hatta ülkemizin sahip olduğu programcı yelpazesinin %90′ını kapsayan database programcısı veya i.t. staff sıfatını üzerinde taşıyan kişiler için bile eleştiri kriterlerimiz son derece sınırlıdır.
Ancak yıllardır dikkatimi çeken ve üzülerek gözlemlediğim bir durum var ki; kendilerine Sistem Yöneticisi/Uzmanı veya Sistem Programcısı yaftasını takıp, üstelik uluslararası firmaların en üst bilişim kademelerinde çalışan kişiler, üzerlerinde taşıdığı bu sıfatsal yükümlülüğün çok azını bile yerine getiremeyecek bilgi birikimleri ile halen görevlerini sürdürmekte ve yapılan eleştirilere tahammülsüzlük göstererek bizlere kibir ile karşılık vermektedirler.
Yaşadığım bir çok tecrübe ne yazık ki halen durumun değişmediğini, aksine ülkemizde yanlış uygulanan Sistem Uzmanlığı, Bilgisayar Mühendisliği, Sistem Programcılığı gibi eğitimler ile mezun edilen kişiler sebebi ile bu yaranın gittikçe derinleştiğini görmekteyim. Eleştirilerimin insafsızca yaftalanmasını istemediğim için onlarca örnekten sadece birini sizlerle paylaşmak isterim. Aşağıdaki niteliklere sahip bir şirket düşünün:
Uluslararası bir yapılanma
~12.000 çalışan
~25 bölgesel domain
~2500 PC
~ 3700 kullanıcı
Yönetimsel yetkilendirmeler ve kısıtlamalar Windows Advanced Server, Network tabanlı iyileştirmeler ise Linux işletim sistemleri ile gerçekleştiriliyor. Ayrıca uluslararası iletişim için kullanılan özel programlar ve sistemler mevcut. Dışarıdan gelebilecek saldırı olasılıkları için piyasadaki ünlü bir koruma sistemi ile çalışılıyor ve periyodik olarak denetlemeleri ve güncellemeleri kontrol ediliyor. İçeriden gelebilecek saldırılar için ise sıkı group policyler mevcut ve her hareket loglanıp, tehlike sınırlarına göre mevcut threat-tracker ile raporlanıyor. En önemlisi şirket vulnerable ve threat-listlerdeki güncel açıkların hiç birini bünyesinde bulundurmuyor. Diyelim ki siz bu şirkette çalışan ve bilinen en kısıtlı user profilinde çalışan bir kullancısınız. Şimdi kendinize şu soruyu sorun. Bulunduğunuz sistemde local admin olarak yetki sahibi olmanızın olasılığı ne kadar? Ya da tüm domainlerin admini olabilme şansına ne kadar yakınsınız? Sanırım cevabı alınca yüzünüzde tatlı bir gülümseme veya benim gibi içinizde acı bir burukluk yaşayacaksınız. Cevabın süresel değilde hareket-zamansal bir cevabı olduğundan kısaca 7 mouse-click ve domain namein string uzunluğuna göre klavye tuşu basımı diyebiliriz. Yanılmıyorsam tüm bunları 15 saniyede gerçekleştirebilirsiniz.
Peki bu açığı öğrendiğinizde bir çalışan olarak ne yapardınız?
1-Bugüne kadar tüm sınırlamalardan sıkılmış biri olarak sistemin verdiği imkanları sonuna kadar kullanmayı mı?
2- Macera peşine düşüp elinizdeki sınırsız haklarla tüm networku zehirlemeyi mi?
3- Bu açığı ilgili birime bildirip, gerekeni yapmayı mı?
Ben zamanında 3. şıkkı denemiş ve çok büyük hayal kırıklığı yaşamıştım. Karşılaştığım şey yukarıda bahsettiğim tipik kibirli Sistem uzmanı tavrı idi. Bu basit ve tek olmayan örnek bile bahsettiğim problemin vehametini anlatmak için yeterli sayılabilir. Şayet ilk 2 seçeneği kullanan biri olsaydım, sanırım aynı hayal kırıklığını yaşamazdım. Birçok web sitesinin uzmanı, biz güvenlik uzmanlarını dinlememeleri yüzünden heklendiklerini üzülerek söylüyorum. Bilişim sistemlerinin babası oLan Microsofttan örnek vereyim ve sizler de olayın ciddiyetini anlayın.
Microsoft Eno7
Microsoft firmasını güvenlik açıkları nedeniyle uyarmış fakat uyarımın dikkate alınmadığını görünce zone h kaydında da görüleceği gibi Microsoft Italyayı (msn.it) web sitem olan eno7.orga yönlendirmiştim.
Zone H Kaydı: http://www.zone-h.org/mirror/id/5615490
Dileğim, bilişim sektöründe bu tip risk ve sorumluluk gerektiren bilişim pozisyonlarında yer alan kişilerin niteliklerinin en üst düzey yeterlilikte olması ve sürekli güncel bilgi ve donanım ile tazelenmesi yönündedir. Aksi takdirde elindeki sistemin bileşenlerinin kullanımından veya varlığından bile haberdar olmayan kişiler, sistemlerini her ne kadar da uluslararası normlarda koruduklarını düşünseler de yine aynı bilgisizlikleri yüzünden kendi elleri ile riske atabilemektedirler.
Şayet biri sizin web sitenize uyarı metni bırakmışsa emin olun tüm sitenizi yok edecek güce de sahiptir. Bunun için sizinle iletişim kurup, güvenlik açığınızın var olduğunu söyleyen kişilere kulak verip, bir an evvel güvenlik önlemlerinizi alınız. Şu da var; biri sizin sitenizde ufacık bir açık bulup, ana sayfanıza bir metin bırakmış ve sizden FTP veya Panel şifrelerinizi isteyerek güvenlik açığınızı kapatacağını söylüyorsa sakın inanmayın. Çünkü biz güvenlik uzmanları site şifrelerini almadan, site yöneticisi veya adminini yönlendirerek, yöneticinin kendisine açık kapatma yöntemini anlatarak güvenlik sağlarız. Makalenin bilişim sektörüne faydalı olması dileklerimle, herkese güvenli günler diliyorum.
Kaynak: Eno7 | http://eno7.org
Ancak yıllardır dikkatimi çeken ve üzülerek gözlemlediğim bir durum var ki; kendilerine Sistem Yöneticisi/Uzmanı veya Sistem Programcısı yaftasını takıp, üstelik uluslararası firmaların en üst bilişim kademelerinde çalışan kişiler, üzerlerinde taşıdığı bu sıfatsal yükümlülüğün çok azını bile yerine getiremeyecek bilgi birikimleri ile halen görevlerini sürdürmekte ve yapılan eleştirilere tahammülsüzlük göstererek bizlere kibir ile karşılık vermektedirler.
Yaşadığım bir çok tecrübe ne yazık ki halen durumun değişmediğini, aksine ülkemizde yanlış uygulanan Sistem Uzmanlığı, Bilgisayar Mühendisliği, Sistem Programcılığı gibi eğitimler ile mezun edilen kişiler sebebi ile bu yaranın gittikçe derinleştiğini görmekteyim. Eleştirilerimin insafsızca yaftalanmasını istemediğim için onlarca örnekten sadece birini sizlerle paylaşmak isterim. Aşağıdaki niteliklere sahip bir şirket düşünün:
Uluslararası bir yapılanma
~12.000 çalışan
~25 bölgesel domain
~2500 PC
~ 3700 kullanıcı
Yönetimsel yetkilendirmeler ve kısıtlamalar Windows Advanced Server, Network tabanlı iyileştirmeler ise Linux işletim sistemleri ile gerçekleştiriliyor. Ayrıca uluslararası iletişim için kullanılan özel programlar ve sistemler mevcut. Dışarıdan gelebilecek saldırı olasılıkları için piyasadaki ünlü bir koruma sistemi ile çalışılıyor ve periyodik olarak denetlemeleri ve güncellemeleri kontrol ediliyor. İçeriden gelebilecek saldırılar için ise sıkı group policyler mevcut ve her hareket loglanıp, tehlike sınırlarına göre mevcut threat-tracker ile raporlanıyor. En önemlisi şirket vulnerable ve threat-listlerdeki güncel açıkların hiç birini bünyesinde bulundurmuyor. Diyelim ki siz bu şirkette çalışan ve bilinen en kısıtlı user profilinde çalışan bir kullancısınız. Şimdi kendinize şu soruyu sorun. Bulunduğunuz sistemde local admin olarak yetki sahibi olmanızın olasılığı ne kadar? Ya da tüm domainlerin admini olabilme şansına ne kadar yakınsınız? Sanırım cevabı alınca yüzünüzde tatlı bir gülümseme veya benim gibi içinizde acı bir burukluk yaşayacaksınız. Cevabın süresel değilde hareket-zamansal bir cevabı olduğundan kısaca 7 mouse-click ve domain namein string uzunluğuna göre klavye tuşu basımı diyebiliriz. Yanılmıyorsam tüm bunları 15 saniyede gerçekleştirebilirsiniz.
Peki bu açığı öğrendiğinizde bir çalışan olarak ne yapardınız?
1-Bugüne kadar tüm sınırlamalardan sıkılmış biri olarak sistemin verdiği imkanları sonuna kadar kullanmayı mı?
2- Macera peşine düşüp elinizdeki sınırsız haklarla tüm networku zehirlemeyi mi?
3- Bu açığı ilgili birime bildirip, gerekeni yapmayı mı?
Ben zamanında 3. şıkkı denemiş ve çok büyük hayal kırıklığı yaşamıştım. Karşılaştığım şey yukarıda bahsettiğim tipik kibirli Sistem uzmanı tavrı idi. Bu basit ve tek olmayan örnek bile bahsettiğim problemin vehametini anlatmak için yeterli sayılabilir. Şayet ilk 2 seçeneği kullanan biri olsaydım, sanırım aynı hayal kırıklığını yaşamazdım. Birçok web sitesinin uzmanı, biz güvenlik uzmanlarını dinlememeleri yüzünden heklendiklerini üzülerek söylüyorum. Bilişim sistemlerinin babası oLan Microsofttan örnek vereyim ve sizler de olayın ciddiyetini anlayın.
Microsoft Eno7
Microsoft firmasını güvenlik açıkları nedeniyle uyarmış fakat uyarımın dikkate alınmadığını görünce zone h kaydında da görüleceği gibi Microsoft Italyayı (msn.it) web sitem olan eno7.orga yönlendirmiştim.
Zone H Kaydı: http://www.zone-h.org/mirror/id/5615490
Dileğim, bilişim sektöründe bu tip risk ve sorumluluk gerektiren bilişim pozisyonlarında yer alan kişilerin niteliklerinin en üst düzey yeterlilikte olması ve sürekli güncel bilgi ve donanım ile tazelenmesi yönündedir. Aksi takdirde elindeki sistemin bileşenlerinin kullanımından veya varlığından bile haberdar olmayan kişiler, sistemlerini her ne kadar da uluslararası normlarda koruduklarını düşünseler de yine aynı bilgisizlikleri yüzünden kendi elleri ile riske atabilemektedirler.
Şayet biri sizin web sitenize uyarı metni bırakmışsa emin olun tüm sitenizi yok edecek güce de sahiptir. Bunun için sizinle iletişim kurup, güvenlik açığınızın var olduğunu söyleyen kişilere kulak verip, bir an evvel güvenlik önlemlerinizi alınız. Şu da var; biri sizin sitenizde ufacık bir açık bulup, ana sayfanıza bir metin bırakmış ve sizden FTP veya Panel şifrelerinizi isteyerek güvenlik açığınızı kapatacağını söylüyorsa sakın inanmayın. Çünkü biz güvenlik uzmanları site şifrelerini almadan, site yöneticisi veya adminini yönlendirerek, yöneticinin kendisine açık kapatma yöntemini anlatarak güvenlik sağlarız. Makalenin bilişim sektörüne faydalı olması dileklerimle, herkese güvenli günler diliyorum.
Kaynak: Eno7 | http://eno7.org