En çok karşılaşılan güvenlik açıkları

Dünyada hızla gelişen güvenlik sektörüne paralel en doğru ve en güvenilir çözümleri sunan InfoNet Bilgi Teknolojileri, kurumların en çok karşılaştığı güvenlik açıklarını açıkladı. InfoNet, Türkiye’de BDDK (Bankacılık Düzenleme ve Denetleme Kurumu)’dan bilgi sistemleri denetim yetkisi alan tek kuruluş olma özelliğini taşıyor.

18.06.2007 - 13:11 | MediaCat

Facebook
Twitter
Google+
LinkedIn
+

Dünyada hızla gelişen güvenlik sektörüne paralel en doğru ve en güvenilir çözümleri sunan InfoNet Bilgi Teknolojileri, kurumların en çok karşılaştığı güvenlik açıklarını açıkladı. InfoNet, Türkiye’de BDDK (Bankacılık Düzenleme ve Denetleme Kurumu)’dan bilgi sistemleri denetim yetkisi alan tek kuruluş olma özelliğini taşıyor.

InfoNet Genel Müdürü Taner Özdeş, internet güvenlik tehditlerinin her gün daha karmaşık hale geldiğini ve en önemli sorunun yeterli güvenlik altyapısına sahip olmayan firmaların saldırılar sonucu iş kaybına maruz kalması olduğunu söyledi. Özdeş’e göre en sık karşılaşılan 9 güvenlik açığı maddeler halinde şöyle sıralanıyor:

1. Kablosuz erişim sağlayan cihazların üzerindeki güvenlik ayarlarının yeterli seviyelerde tutulmamasından kaynaklanan açıklar büyük risk teşkil etmektedir. Masum kullanıcıların ağlarına kablosuz bağlantıların zayıflığı sayesinde ulaşan kötü niyetli kullanıcılar bu hatlar üzerinden saldırı v.b. içerikli zararlı aktiviteler düzenleyebilmektedir. Maalesef ki Türk Telekom kayıtlarında daha sonra masum kullanıcının hat sahibi olarak gözükmesi masum bir çok internet kullanıcısını zor ve hukuki anlamda yorucu bir yola sokmaktadır.

2. PC, sunucu ve diğer network ve güvenlik cihazlarının üzerinde çalışan uygulama ve işletim sistemlerinin güncellemeleri gerektiği gibi yapılmamaktadır. Özellikle Microsoft Windows işletim sistemleri güncellemelerinin ve ‘service pack’lerin eksik yapılması ciddi güvenlik açıklarına sebep olmaktadır.

3. Yaygın olarak kullanılan cihazlar ve yazılımlar factory default kullanıcı adı ve şifrelerle gelmektedir. (root/root, admin/admin, Administrator/ , sa/admin, vb.) Sistem yöneticileri bu cihaz veya yazılımların kullanıcı adı ve şifrelerini default haliyle bırakmaktadır. Kurum ağlarına erişen bir saldırgan bunlara erişmek için ilk önce default kullanıcı adı ve şifreleri deneyecektir.

4. Kullanıcılar, kullanıcı adı ile aynı veya tahmini çok kolay şifreler kullanmaktadırlar. Aynı zamanda şifrelerin minimum uzunluğu ve değiştirilme süresi ile ilgili gerekli konfigürasyonların sistem yöneticileri tarafından yapılması gerekmektedir. Birçok sistem yöneticisi bu konfigürasyonu yapmamaktadır.

5. Ping, traceroute gibi sık kullanılan ICMP komutlarına birçok sistem izin vermektedir. Bu komutlar sayesinde hedef sistemin yapısı ve network topolojisi hakkında değerli bilgilere erişilebilir.

6. Cross-site scripting ve SQL injection açıkları : Web tarayıcıları üzerinden linklerine veya özel olarak HTTP isteklerine eklenen karakterler yardımıyla sunucu üzerinde istenen kodun çalıştırılmasını sağlayan cross-site scripting saldırıları ve web uygulamalarında yapılan işlemler için kullanıcıdan alınan verilerin doğru işlenememesi sonucu veritabanından yetkisiz birçok bilginin görüntülenmesini sağlayan SQL injection saldırıları, çok popüler ve önüne geçilmesi kolay saldırı tipleri olmasına rağmen Türkiye’de bu saldırılar türlerine karşı açıkları bulunan birçok sistem bulunmaktadır. Sistemlerdeki açıkları kullanarak yapılabilecek bu saldırılar sonucunda kurumlara ait veya o kurumların web uygulamalarını internet üzerinden kullanan kullanıcılara ait çok gizli bilgilere erişilebilir. Türkiye’de hala günde binlerce kişinin kullandığı büyük bankaların ve finans kuruluşlarının web uygulamalarında dahi bu açıklara sıkça rastlamaktayız.

7. Kullanıcıların eriştiği web uygulamalarının döndürdüğü hata sayfaları web uygulaması ve sunucusu hakkında çok hassas bilgiler içermektedir. Bu hata sayfaları sayesinde kullanılan web sunucusu, versiyonu ve ‘service pack’i, kullanılan veritabanı ve yazılım versiyonu, web uygulaması yazılım dili ve hatta hataya sebep olan kod parçası bile görüntülenebilmektedir.

8. Yapılan bağlantılarda herhangi bir şifreleme tekniği veya güvenlik uygulaması kullanılmamaktadır. Güvenliksiz yapılan bağlantıların dinlenmesi sonucu bağlantı sırasında iletilen şifreler de dahil tüm verinin elde edilmesi mümkündür.

9. Network’ler üzerinde çalışan PC ve sunucularda gereksiz servisler ve port’lar açık tutulmaktadır. Açık bulunan her port ve servis doğru konfigüre edilmediğinde ve gerekli güvenlik güncellemeleri yapılmadığında güvenlik açığı demektir.

Geçen sene BDDK’nın bilgi sistemleri denetim yetkisi verdiği tek firma olan InfoNet, bu kapsamda birisi kamuda olmak üzere 3 bankada dış hizmet sağlayıcı olarak yer alıyor. Proje, InfoNet Bilgi Teknolojileri içerisinde ayrı bir grup olarak yer alan InfoSecure Güvenlik Denetim ve Danışmanlık tarafından gerçekleştiriliyor. 2000 yılında kurulan Infosecure Güvenlik, Denetim ve Danışmanlık Hizmetleri, şirketlerin karşı karşıya kaldıkları güvenlik risklerini denetlemekte ve önemli bilgi kaynaklarının korunmasını kontrol etmekte.