Online alışveriş yaparken, web bankacılığında ya da kullanıcı adı ve şifre girdiğiniz sayfalarda gözünüze ilişmiştir: “güvenli alışveriş”, “secure site”, “secured by xxx”. Bunlar kısmen doğru olsa da güvenlidir diyemeyiz. Burada bahsedilen güvenlik SSL güvenliğidir. Https protokolü ile web sunucusu ve istemci arasında gidip gelen trafiği şifreleyerek ağ üzerinde herhangi bir noktadan sniff edilmesini (dinlenmesini) engellemektir amacı. Özellikle kredi kartı bilgileri veya web bankacılığı giriş şifrelerini korumak için elbette zorunlu bir yöntem. Ancak oldukça büyük riskler de getiriyor web sunucusu barındıran şirketler için.

Günümüzde güvenlik duvarı kullanmayan sistem kalmadı. Birçok büyük şirkette de ya bir atak engelleme sistemi çalışıyor ya da proje aşamasında. Bu güvenlik ürünleri artık olmazsa olmazlardan. Ancak şimdi işin farklı bir boyutuna bakacağız.

Standart Intrusion Detection (IDS) ürünleri ağ üzerinde konumlandırılır ve tüm trafiği yakalayıp atak arar. IDS’ler akıllı cihazlar değildir, yakaladığı atağa karşı iki koruması vardır. Tcp reset komutu gönderebilir atak yapan ip adresine ve güvenlik duvarına bağlanıp ilgili ip adresini blok listesine yazdırtabilir. Ancak bu yöntemler oldukça yetersiz hatta risklidir.

Udp ataklarında reset diye bir imkan olmadığından IDS’ler udp ataklarını izlemekle yetinir. Bazı IDS’ler icmp ataklarına karşı unreachable cevabı dönebilir ama birçoğu bunu da yapamaz. Firewall’a kural yazdırmak ise bir atak tipi ortaya çıkarmıştır. Örneğin IDS çalıştıran sisteme bir atak yapıp, atak sırasında source ip adreslerini mask edip bilinen büyük dns sunucularının ip’sini yerleştirelim (odtu ve büyük isp’ler mesela). IDS’de gitsin bu ip’leri firewall blok listesine eklesin. Bu durumda kurban sistem dns çözümleyemez hale gelir. İntihar gibi bir şey olsa gerek IDS’lerin firewall ürünlerine blok yazdırması.

IDS işi böyle biraz karışık ve amaçsızca giderken Intrusion Prevention (IPS) sistemleri çıktı. Bunlar in-line ve transparan olarak çalışıyor ve yapılan atağı kendi üzerinde gerçek zamanlı olarak engelliyor. Zaten birçoğumuz IDS’lerimizi IPS’ler ile değiştirmiş durumdayız.

Tüm bu ürünleri neden alıyoruz? Güvenlik sağlamak için. Bu ürünler https güvenliği sağlıyor mu? Hayır. Neden? Çünkü https şifrelenmiştir ve ağ üzerinde çalışan güvenlik cihazları şifrelenmiş bu trafiği açıp içine bakamazlar. Öyleyse bir https sunucumuza atak yapıldığında ids veya ips cihazımızın olaydan haberi olmayacak.

Birçok büyük kurumda https sunucuları içler acısı durumda çalışıyor. Güvenlik danışmanlığı bu yüzden önemli. Düzenli olarak danışmanlık hizmeti alarak zayıf noktaları bir uzmana tespit ettirmenizi öneririm.

Https üzerindeki bu tehdidi gören üreticiler önlem almaya çalışıyorlar. Ancak bunların hiçbiri sektörde henüz standart haline gelmiş değil. Örneğin McAfee, IPS ürünü olan IntruShield’e https tarayabilen bir özellik getirdi. IntruShield’e web sunucusunun SSL anahtarını yükleyip şifreli paketleri kontrol ettirebiliyorsunuz. Üstelik IPS cihazı bu durumda SSL end-point olmuyor. Sadece trafiği kontrol ediyor, atak bulursa engelliyor, legal trafiği ise yine şifreli biçimde web sunucusuna yolluyor. Şifreleme performansını düşürmemek için de SSL Accelerator kartı cihazda mevcut. Yeterli mi? Değil.

Biliyoruz ki IPS ürünleri genellikle 2 teknolojiye sahiptir. Pattern-matching ve Protocol-anomaly. Pattern-matching’de yapılan iş gelen paketlerde bilinen bir atağın taranmasıdır. Protocol-anomaly’de ise RFC standartları kontrol ediliyor ve standart dışı paketler engelleniyor.

Şimdi şu isimlere dikkat edelim: Sql injection, Cross-site scripting, Command Injection, Cookie/session poisoning, Parameter/form Tampering, Error Message Interception, Application Platform Exploits. Tüm bu isimlerdeki ortak nokta, tamamının uygulama açığı olması. IPS ürünleri web uygulamaları da dahil olmak üzere, uygulamaları çok iyi tanımazlar.

Bir çoğumuzun gözden kaçırdığı farklı bir pencere açmış olduk bu noktada, uygulama güvenliği.

Beyaz Şapka’nın diğer yazılarında da görebileceğiniz gibi artık eskisi kadar çok işletim sistemi açığı çıkmıyor. Üreticiler bu konuda çok daha hassas ve tecrübeli. Özellikle otomatik güncelleme mekanizmaları ile yama eksiği bulunan bir kurban yakalamak çok zor internet üzerinde. Dolayısı ile artık ataklar uygulamalara çevrildi. Hatta birkaç tane olan uygulama güvenliği tarama yazılımı üreten şirket sayısı 50’ye yaklaştı. Buna paralel olarak ücretsiz yazılımlar da her geçen gün artıyor. Bütün bu ürünlerin performansları tartışılır. Ancak 10 tane uygulama güvenliği tarama yazılımı kullandığınız zaman hemen hemen her web sitesinde açık bulmanız muhtemeldir. Yapmanız gereken tek şey yazılımların deneme sürümlerini temin etmek. Şahsen uygulama güvenliği tarama yazılımlarında Top 10 listem şöyle: McAfee FoundStone, Syhunt, MaxPatrol, AppDetective, Kavado, SPI Dynamics, Acunetix, VForce, N-Stealth, WHCC.

Tekrar üzerinden geçmek istiyorum. Yukarıda saydığım uygulama güvenlik tarama yazılımları, web tabanlı her uygulamayı tarar. Asp yada php sayfalarında bulunan en küçük kod hatasını bulur ve sonuçlarını gösterir. Üstelik bu taramayı https üzerinden yaparsanız, atak yaptığınız sistemde bulunan Firewall, ağ tabanlı atak tespit ve engelleme sistemleri (NIDS/NIPS) gibi güvenlik ürünleri SSL şifrelemesini bilmediğinden ve uygulama güvenliğinden anlamadığından etkisiz kalır.