Sistemde Güvenlik Açıkları ile Yaşamak
Doruk Fişek (dfisek@ozguryazilim.com.tr)
Yaygın Güvenlik Önerileri - 1
Güvenlik açığı olan bir yazılım sistemde çalıştırılmaz.
Bir sistemin güvenlik güncellemeleri saniyesinde yapılmalıdır.
Bir yazılımın güvenlik açığı duyurulduysa hemen kapatılmalıdır.
O yazılımın yeni sürümü yayınlanmadıysa, hemen bulunan bir yama ile kaynak kodu yamalanır, derlenir, sisteme yerleştirilir.
Yaygın Güvenlik Önerileri - 2
Bir yazılım güvenlik açığını hızla kapamıyorsa, onu hızla terk etmek gerekir.
Bol güvenlik açığı olduğu tahmin edilen yazılımlar zaten kullanılmamalıdır (ör: Windows, PHP, vs vs).
Bilinen bir güvenlik açığı bulunan bir sistem işletenler zaten ölmelidir.
Yaygın Güvenlik Önerileri - 3
Parolalarınızı en az 13463726 karakter yapın.
Parolalarınızın içinde abuk karakterler, rakamlar, büyük-küçük harfler olsun.
Parolalarınızı sık değiştirin.
Eski 342837 parolanızdan birini kullanmayın.
Her yerde farklı parola kullanın.
Yaygın Güvenlik Önerileri - Sonuç
Konferanslarda, eğitimlerde bu önerileri ve bunlara uymayanların düştüğü kötü duruma düşenleri eğlenerek dinleriz.
İşimize dönünce birkaç yıllık kalkınma planı yaparız.
Ortamlarda tüm güvenlik önlemlerini alıyoruz deriz, kim bilecek?
Gerçek Yaşam Şartları - 1
Ülkemizde nitelikli bilişim profesyoneli sayısı çok az.
"En iyi uygulama"ların yapılma yüzdesi çok düşük.
Projeler için zaman kısıtları ve sonuç beklentisi çok yüksek.
Kurumlarda yıllar boyunca "çeşitli şartlar" nedeniyle yapılan bu uygulamalar arapsaçına haline ge(tiri)lmiş çalışan yazılımlar ve sistemler var.
Değişim süreci yoğun kullanım, iri sistemler ve bürokrasi nedeniyle yavaş.
Gerçek Yaşam Şartları - 2
Servisin herhangi bir biçimde aksamasına tahammül yok (sabahlar olmasın!).
Değişikliklerin sorunsuz olması için gerekli ek donanıma yatıracak para yok.
Yöneticiler güvenliği "normal şartlarda" önemsemiyorlar.
Bir güvenlik sorunu çıktığı anda da "acilen" çözülmesi istenir.
Gerçek Yaşam Şartları - 3
Büyük bir sistem/yazılımda güvenlik açıklarını gidermek, düzenli, planlı ve sistematik bir çalışma gerektirir.
Kurumlarda bunu yapacak sabırda yönetici az.
Kurumlarda "durduk yere" akıntıya karşı kürek çekmek isteyen personel az.
Gerçek Yaşam Şartları - 4
Her şey tam olsa da, güvenlik açıklarını kapamak uzun ve acılı bir süreç.
O sırada dünya dönmeye devam ediyor.
Her an tehlike altındasınız!?
Hasar Kontrolü!
Güvenlik ile gerçek yaşam arasında dengenin kurulması
Güvenlik açıklarının hepsi "ölümcül" kritiklikte değil
Güvenlik açıklarının tam içeriğinin ve etkisinin incelenmesi
Güvenlik açıklarının kâr/zarar hesabının yapılması
Güvenlik açıklarının önem sırasına dizilmesi
Hayatı sekteye uğratmadan "elden gelenin en iyisi" ile güvenlik açıklarının kapanması
Güvenlik Açıkları Kapanırken
Güvenlik açıklarını kullanabilecek kitlenin en aza indirilmesi
Güvenlik açığının kullanıldığını hızla tespit edecek uyarı mekanizmaları oluşturup, engellemek
Düzenli yedek almak ve felaket planını hazırlamak
Mevcut durumu raporlamak ve kendini sağlama almak
Nedir Bu Güvenlik Açıkları?
Güvenlik güncellemeleri yapılmamış bir işletim sistemi
Üreticisinin artık desteklemediği bir uygulama: PHP 4, JBoss 4, RHEL 4, vs
Kurumda geliştirilmiş, her tarafı dökülen bir yazılım
Heartbleed açığı olan OpenSSL kullanan bir sistem
Buffer overflow açığı olan bir OSSEC servisi
SSL ile haberleşmeyen bir LDAP sunucusu
Şifrelenmemiş parola saklayan bir uygulama
...
Sorular
?
