Malumunuz guvenlik dunyasi bir haftadir Dan Kaminsky’nin buldugu DNS protokolu ve bu protokolu kullanan dns sunucu/istemci yazilimlarinda cikan kritik acigi konusuyor. Oncekilerden farkli olarak bu sefer acikligin detaylari bildirilmedi . Sanirim tum dunyayi etkileyebilecek bir aciklik oldugu icin dns servisi yazilimcilari ile yapilan gorusmeler, degerlendirmeler ve bu zaafiyet icin hazirlanacak yamalar sonrasi detayli bir sunumla aciklanacak.(1 ay sonra Blackhat konferansinda).

Acikligin ne oldugunu nasil giderilecegini ilk dakikalardan itibaren ogrendik ama acikligi tam olarak irdeleyen net bir kaynak yoktu. Bir iki gun icerisinde benim gordugum en net bilgilendirme CERT tarafindan yayinlandi. Bugun acaba Turkiye’de nasil yanki buldu bu aciklik diye arastirirken garip bir sekilde ciddi hicbir guvenlik kurumunun bu acikligi detayli incelemedigini farkettim. Inceleyenler de basit haberden oteye gitmemislerdi(3-5 satir haber ve yabanci sayfalara linkler)

Sonra aklima bizim ulusal CERT projemiz geldi. Acaba dedim onlarda bir hareketlilik var mi. Oyle ya o kadar tartisma sonrasi bir(ya da birden fazla) CERT ekibimiz oldugu konusunda haberler okumustuk. Kisa suren arastirmam sonucu doyurucu hicbir bilgi bulamadim.

Bulabildigim tek bilgi www.bilgiguvenligi.gov.tr altinda yayin yapan TR-CERT http://www.bilgiguvenligi.gov.tr/index.php?option=com_content&task=view&id=277&Itemid=16 - projesinin sayfasi idi. Yine orada da uc bes satiri gecmeyen formal bir uyarı seklinde yer almıstı.( Çoklu DNS Servisi Arabellek Zehirleme).

Oysa ben TR-CERT projesinin bu tip geneli etkileyen zaafiyetlerde daha aktif olmasini beklerdim. Uc bes satir ceviri yazip sonrasini yabanci sitelere link vermek orta duzey ingilizce bilen birisinin alabilecegi bir aksiyon.

TR-CERT’in nasil isledigini bilmiyorum ama bu tip konularda hizli bir sekilde tartisarak konu hakkinda bilgi sahibi  olan insanlara ulasip bunlari Turkce olarak sayfalarına aktarmaları, ilgili listelere, haber gruplarına ve sitelere bu haberi aktararak ulusal bir bilinc saglaması gerekir diye dusunuyorum. Yoksa kopya bir CERT olmaktan oteye gecemez .

ps: Bu elestiri benim yaptigim arastirmalar sonucu ulastigim -ulasamadigim- bilgilere gore yapilmistir. Konu hakkinda detayli yapilmis bir bilgilendirme vs varsa ogrenmek isterim.

ps1: bu kadar elestiri yapacagina detayli bilgilendirmeyi gonderseydin diye dusunebilirsiniz? Bu konuda ilgili kurumun nasil isledigi, halka acik olup olmadigi bilgisine sitede rastlayamadigim icin aksiyon alma ihtiyaci hissetmedim.