Network’lerde En Büyük 10 Güvenlik Açığı
Hacker’ların sayılarının hızla artması ve ağlara sızmak için sürekli
yeni ve sinsi yöntemlerin geliştirilmesi, ağ güvenliğini en önemli
konulardan biri durumuna getirdi. Ağınızı bekleyen tehlikeleri ve
bunlardan korunma yöntemlerini sizler için derledik.
Ağ işletim sistemleri ve bunların korunmasına yönelik geliştirilen
“Firewall ve Denetim” yazılımlarının incelenmesine kaldığımız yerden
devam ediyoruz. Kısaca hatırlatmak gerekirse ilk bölümde, firewall ve
anti-virüs yazılımları üzerine temel bilgiler vermiş ve port’ların
yapısından bahsetmiştik. Bu ay ise çeşitli ağ işletim sistemlerini
tehdit eden en önemli güvenlik açıklarını inceleyerek, yöneticilerin ve
sistem sorumlularının bunlara ek olarak yapmış oldukları kritik
hatalara değineceğiz. Ayrıca Unix ve NT işletim sistemleri için özel
olarak tasarlanmış bir firewall olan “CyberGuard”ın inceleme ve test
sonuçları da bu ay ki yazımızın diğer konuları arasında. Öncelikle
internet tarihinde sistemleri tehdit eden en önemli 10 güvenlik açığını
ve bu açıklara karşı ne gibi önlemlerin alınması gerektiğini
inceleyelim. Özellikle son yıllarda ciddi oranda artan tescilli
bilginin çalınması, sistem çökertme, denial of service (hizmet durdurma
saldırısı) ve diğer hacker olayları, bu konu üzerinde ürünler
geliştiren firmaları oldukça zor durumda bırakıyor.
Örneğin ; x firması yeni çıkarmış olduğu bir kurumsal firewall’u
oldukça güvenilir ve rakipsiz olarak piyasaya lanse ederken, bir süre
sonra yine aynı firma, söz konusu ürünün bir çok açığının
keşfedildiğini ve bunun üzerine bir patch (yama) çıkarıldığını
duyuruyor. Bu aslında son derece rutin bir gelişme. Sistemlere sızmanın
binbir çeşit yolu varken, fazla bir geçmişi olmayan firewall’ların işin
biraz gerisinden gelmesi anlaşılabilir bir olgudur. Diğer taraftan
sistem yöneticilerinin yaptıkları işe yeterince ilgi göstermemesi
hacker’ların hep bir adım önde olmalarını sağlıyor. Sistem yöneticileri
ya çok fazla işle uğraşmak zorunda olduklarından ya da teknolojiyi
yeterince yakından takip edememelerinden dolayı sistemlerinde
oluşabilecek güvenlik açıklarını ne yazık ki gözden kaçırıyorlar. Belki
de çoğu kişi için bu iş biraz ağır geliyor. Ancak ağ güvenliği ve
dolayısıyla internet güvenliği kesinlikle hafife alınabilecek bir iş
değil.
Network’te tehlike:
En önemli 10 güvenlik açığı
Hacker’ların bilgisayar sistemlerine girmek için yaptıkları iş, en
bilinen güvenlik deliklerini en çok kullanılan saldırı programları ile
kontrol etmekten ibaret. Örneğin Amerika Savunma Bakanlığı Pentagon’un
bilgisayarlarına giren hacker’lar NT sunucuların bir yama ile basitçe
tıkanabilecek bir güvenlik deliğinden faydalanmışlardı. İşte en önemli
10 açık.
1 – BIND (Berkeley Internet Name Domain):
Alan adı servislerinin en çok kullanılanı olan BIND sayesinde web
sitelerine erişmek için IP numarası yerine .com, .org, .net ile biten
isimler kullanırız. Hacker’lar BIND servisinin zayıf noktalarını
bularak kayıtları değiştirme yoluyla isimleri istedikleri IP
numaralarına yönlendiriyorlar. Ne yazık ki internette kullanılan alan
adlarının yarısından fazlası bu saldırılara açık durumda.
2 – Korunmasız CGI ve diğer web uygulama uzantıları:
Bir çok web sitesinde etkileşimli formlar ve şifre kontrolü amacı ile
kullanılan CGI uygulamaları kimi zaman kötü niyetle kullanılabiliyor.
Bir çok programcı yazdıkları kodların hacker’lar tarafından amaç dışı
kullanılabileceği konusunda yeterince bilgi sahibi değiller. Zayıf CGI
kodları ile web sitelerinin veri tabanlarına çok rahatlıkla
ulaşılabilir ve kullanıcı şifreleri gibi hassas veriler çalınabilir!
Şifre veya kredi kartı gibi kişiye özel verilerin işlendiği etkileşimli
sitelerde mutlaka SSL (Secure Sockets Layer) teknolojisi veya 128
bit’lik benzer standartlar kullanılmalı.
3 – RPC (Remote Procedure Call):
Uzaktan erişim yoluyla bir bilgisayar üzerinden başka bir
bilgisayar üzerindeki bir programı çalıştırmaya yarayan RPC komutları
hacker’lara korunmasız sistemler üzerinde Root yetkisi veriyor.
Belirlenmiş politikalar haricinde izinsiz girişleri tespit edebilen
basit bir firewall bu tip denemeleri fazlasıyla bloke edecektir. Ayrıca
IP yönünden de bu kişiler tespit edilebilir. Ancak saldırıların büyük
çoğunluğunun internet kafelerden yapıldığı göz önüne alınırsa bu IP
bilgilerinin pek fazla değeri olmayacaktır.
4 – Microsoft Internet Information Server (IIS) güvenlik deliği:
Windows NT ve 2000 sunucularda çalışan IIS’in uzaktan kontrol
özelliği sisteme sızmak için potansiyel bir güvenlik deliği. Bu açığı
yoklayarak sisteme girmeyi başaran hacker’lar “Administrator” olarak
istediklerini yapma hakkına sahip oluyorlar. IIS 4.0 kullananların en
kısa sürede 5.0’a geçmeleri ve çok gerekli değilse uzaktan kontrol
özelliğinin devre dışı bırakılması önerilir.
5 – Windows NT Server 4.0 (service pack 7) – Windows 2000 Server (Service pack2):
NT Server 4.0 ve 2000’de bulunan kritik güvenlik açıkları Microsoft
tarafından şimdilik giderilmiş gözüküyor. Söz konusu yamaları
Microsoft’un sitesinden indirerek mutlaka sistemlerinize adapte
etmelisiniz. Yazılım firmalarının hata gidermedeki verimlilik oranları
(defect removal efficiency) yüzde 99 düzeyindedir.
6 – Sadmind ve mountd komutları:
Solaris işletim sistemi kullanan sunucularda sadmind komutuyla
uzaktan erişim hakkı elde eden hacker’lar mountd komutu ile Root
yetkisi alıyorlar. Bu işletim sistemini kullanan sunucuların söz konusu
açıkları sistem yöneticileri tarafından kapatılmalı.Ayrıca, güvenilir
bir firewall ile desteklenmesi de gerekir.
7 – NT, Linux ve Macintosh’larda dosya paylaşımı:
Windows Netbios, Linux NFS ve AppleShareIP servisleri çoğu zaman
internete açık olan sistemlerde kullanıma hazır duruyor. Sisteme giriş
için tek yapılması gereken, IP adreslerini tarayarak açık servisleri
bulmak. İşi bilen için gerisi çorap söküğü gibi gelir. Daha önceki
maddelerde de belirtildiği gibi gereksiz, kullanılmayan servisleri
mutlaka diskalifiye edin. Ayrıca bu tip protokoller ağa çok fazla yük
getirdiğinden bir anlamda bunun da önüne geçilmiş olur.
8 – flifresiz veya basit flifreli Root\Administrator yetkileri:
Çoğu sistem yöneticisinin değiştirmeyi unuttuğu veya sıkça
kullanılan şifreler çoğu hacker’ların sözlüklerinde zaten bulunmakta.
Bu işlem tecrübenin de getirdiği tahmin gücüyle birleşince, bunları
deneyen usta hacker’lar sistemlere şifreleri ile girebiliyorlar.
Şifreleme sırasında akılda kalıcı olmayan kombinasyonlar kullanılmalı.
9 – IMAP ve POP e-posta protokolü güvenlik delikleri:
E-posta protokolleri olan IMAP ve POP bir dizi güvenlik deliği
içermekte. Bu protokoller e-posta erişimine izin vermek için
firewall’lar tarafından açık bırakılır. Ancak bu servisler üzerinden
sisteme giriş yapan hacker kendini Root yetkisi ile donatabiliyor. Bu
açığın tehlikesi mevcut firewall’un mimarisi ile orantılıdır. Bu da
seçilecek firewall’un kendini kanıtlamış bir ürün olması gerektiğini
ortaya koyar.
10 – SNMP (Simple Network Management Protocol):
Ağ yöneticilerinin ve çeşitli ağ izleme araçlarının, sistemi izlemek ve
yönetmek için kullandıkları SNMP protokolü çoğu zaman şifresiz paketler
yolu ile haberleşir. Bunlara erişebilen veya mevcut paketleri deşifre
edebilen hacker tüm ağ hakkında çok değerli bilgiler edinebilir. Tek
çözüm yasadışı sniffer’lara karşı ilan edilmemiş denetimler
gerçekleştirilmesini sağlamaktır. Tüm bunlara ilave olarak her geçen
gün yeni saldırı yöntemleri geliştirilmekte olup dolayısıyla yeni
açıklar ortaya çıkmaktadır. Bu tip potansiyel güvenlik açıklarını
yakından takip etmek isteyenler SANS Enstitüsü’nün sitesinden
yararlanabilirler. 96 bin sistem yöneticisinden kurulu bir platform
olan SANS, internet üzerinde oluşturulması gereken güvenlik
standartları hakkında bilgi topluyor ve sitesinde tavsiye niteliğinde
açıklamalarda bulunuyor. SANS Enstitüsü’ne www.sans.org adresinden ulaşabilirsiniz.
Yöneticilerin ve sistem uzmanlarının hataları
Güvenlik açıklarının yanında yöneticilerin ve üst düzey sistem
uzmanlarının da yapmış olduğu bir takım hatalar mevcut. Elemanlara
gerekli eğitimin verilmemesi, basit şifre kullanılması vb. eksiklikler
hacker’ların işini kolaylaştırabiliyor.
Kısaca incelemek gerekirse;
- Güvenliği muhafaza etmek üzere eğitimsiz elemanlar almak ve buna
rağmen işin öğrenilmesi için gerekli eğitim ve zamanı sağlamamak.
- Bilgi güvenliğinin meslek yaşamıyla ilişkisinin ciddiyetinin farkına varmamak.
- Sistemlerdeki olası açıklar için yamalar yüklemek ancak bu yamaların ne kadar güvenli olduğunu kontrol etmemek.
- Güvenlik duvarına (firewall) birinci dereceden güvenmek. Zira her
güvenlik duvarı yazılımı sistemi yüzde 100 korumakla yükümlü değildir.
- Bilgiye ve firmalara ilişkin ünün ne kadar değerli olduğunun farkına varamamak.
- Tepkisel ve kısa vadeli çözümlere prim vermek ve bunun sonucu olarak çok geçmeden aynı problemlerle karşılaşmak.
- Sistemleri kuvvetlendirmeden internet ağına açmak.
- Güvenlik duvarı olan sistemlerde telnet gibi sisteme dışarıdan giriş yapabilen protokollere izin vermek.
- Özellikle ftp, telnet, finger ve rpc gibi her zaman gerekli olmayacak servisleri çalıştırmak.
- Virüs algılama ve koruma yazılımlarını güncellememek.
- Yedeklemeyi muhafaza ve test ederken başarısız olmak.
- Kullanıcılara telefonda şifre vermek veya kullanıcı şifrelerinin
değiştirilmesi taleplerini ve kişisel istekleri kullanıcı doğrulanmadan
telefonda cevaplamak.
- Kullanıcıları potansiyel bir güvenlik sorunuyla karşılaştıkları zaman ne yapmaları gerektiği yolunda eğitmemek.
- Ve belki de en önemlisi, güvenlik duvarını giriş ve çıkışlardaki tehlikeli trafiği engelleyemeyecek kurallarla yürütmek.
Tescilli bilgilerin hackerlar tarafından çalınması
Kimlik onayıyla birleştirilmiş güçlü şifreleme bu tür saldırılarla
mücadelede etkilidir. Öncelikle bir ağ ortamında hacker’ların nasıl
olup da kullanıcı bilgilerini kullanarak sistemlerden bilgi
sızdırabildiği inceleyelim. Bu iş aslında çok basit bir mantığa
dayanmakta, nasıl mı? Hackerkendisini, kullanıcı bilgisayarından çıkan
veriler ile bu verileri bekleyen sunucu bilgisayar arasında (bu
genellikle ana segment’dir) bulunacak şekilde yerleştirir. Bu işlemi
yaparken tabii ki çeşitli yazılımlar hatta yazılımcıklar (script’de
denilebilir) kullanırlar.
Ve kişiye göre değişse de bu işle uğraşan tüm profesyonel hacker’lar
ciddi bir ağ protokolleri bilgisine sahiptir. Kullanıcı ana sisteme
giriş yaptığında giriş parolası ve iletilen veri hacker tarafından ele
geçirilir. Daha sonra veri değiştirilip asıl yönünde yeniden
gönderilebilir.
Ancak burada hacker için ele geçirilen en önemli bilgi hiç şüphesiz
iletilen verinin içeriğinden önce sisteme giriş parolası olacaktır. Bu
sayede hacker her ne kadar parola sahibinin haklarıyla sınırlı kalsa da
sunucu üzerindeki işletim sisteminin açıklarından yararlanarak bir
şekilde amacına ulaşabilir. Sistem yöneticileri genellikle bu tür
saldırılarla mücadele için bir kara liste özelliği kullanırlar. Belirli
bir sayıdaki başarısız giriş denemelerinden (genellikle üç ile beş
arasında) sonra, sistem yöneticisi giriş sayacını sıfırlamadan daha
ileri gidilmesi engellenir. Fakat görüldüğü gibi burada deneme yanılma
yöntemi uygulanmıyor. Sisteme direkt gerçek şifre ile giriş yapılıyor.
Çünkü ağda açık olarak dolaşan şifre hacker tarafından deşifre
edilmişti! Peki amaç nedir? Amaç, tescilli bilginin ve tüm veri
tabanının bir kopyasını çıkararak daha sonra belki de sistemi
kullanılamaz hale getirmektir. Diğer bir değişle çökertmektir. Kimlik
onayıyla birleştirilmiş güçlü şifreleme bu tür saldırılarla mücadelede
tam olarak etkili olmasa bile büyük ölçüde caydırıcıdır. Ayrıca başında
kimsenin bulunmadığı bir bilgisayar da her zaman hacker için zevk
kaynağı olmuştur. Bu özellikle kullanıcıların parolalarını açık bir
bilgisayardaki dosya da sakladığında böyledir. Ağ da geçirilen kısa bir
süre bile hacker’a çalıntı kullanıcı isimleri ve parolaları kullanarak
ağa erişmeyi sürdürmesi için yeterli bilgiyi sağlayabilir. Sistem
sorumlularına bu aşama da düşen görev, kullanıcı PC’lerine erişimi
sınırlamak için her zaman bir tür parola kullanılmasını sağlamak ve
asla etkin hale getirmeden bilgisayarlarını boşta bırakmamalarını bir
yazılı bildirge ile tüm şirkete duyurmaktır.
Veri güvenliği için PGP bir çözüm olabilir mi?
Verilerinizi kaybedebileceğiniz on binlerce yol arasında, bilgilerinizi
nasıl kendinize saklayabilirsiniz? Tabii ki verilerinizi şifreleyerek
ve bunu yapmanın en iyi yollarından biri, Phil Zimmerman’ın “Pretty
Good Privacy”sini (PGP) kullanmak olabilir. PGP şu an da net üzerinde
en yaygın olarak kullanılan şifreleme yazılımlarından biridir. Şirket
yazışmalarına ait email’ler ve doküman paylaşımlarında pratik ama aynı
zamanda güçlü bir şifreleme tekniği olan PGP’den yararlanılabilir. PGP
şu anda, Zimmerman’ın üst düzey görev yaptığı Network Associates’in www.nai.com mülkiyetinde. PGP ile ilgili ayrıntılı bilgiye www.pgp.com adresinden ulaşabilirsiniz.
Sonuç: Aktif veri depolama ünitelerinizin ve sunucularınızın, internal
veya external ağ üzerindeki diğer sistemlerle arasında bir firewall
(kaliteli bir anti-virüs programı ile entegre edilmiş) kurulu olması
gerektiği ve artık bunun bir zorunluluğa dönüştüğü çok açık bir
gerçektir. Bu durumda size şöyle bir soru yöneltebiliriz: Çok gizli
dokümanlarınızın yanlış ellere geçtiğini düşünmek içinizde nasıl bir
duygu uyandırır? Sorunun cevabı açık, en kısa sürede tedbirinizi alın
ya da bir planlama süreci başlatın, geçen her dakika sizin aleyhinize
işliyor olabilir! Bu iş için ayıracağınız bütçenin boşa gitmeyeceğinden
emin olabilirsiniz.
tarafından 
Konu: Network’lerde En Büyük 10 Güvenlik Açığı 
