Başlangıç > GÜVENLİK SANATI > GÜVENLİK SANATI -2

GÜVENLİK SANATI -2

secure.JPG 

Bu yazıyı okumaya başladan evvel GÜVENLİK SANATI -1 başlıklı yazımı okumanızı tavsiye ediyorum. Güvenlik Sanatı serisine yazı eklemek benim için sanırım hiç de zor olmayacak. Etrafım(ız)da o kadar çok örnek var ki konu bulmak gerçekten çok kolay.

kemalunakitan.jpgYandaki resmi görenünce bir kısmınız konuyu tahmin etti , bir kısmınız da KEMAL UNAKITAN’ ın güvenlikle ne alakası var diyor.  Konumuz Maliye’deki Büyük Skandalla ilgili. Belki haberlerde dikkatinizi çekmiştir. Maliye’nin Vergi Daireleri Otomasyon Projesi’ nde (VEDOP) yapılan saçmalık yüzünden aralarında Cumhurbaşkanımızın , Başbakanımızın  da bulunduğu pek çok önemli ismin vergi ve mal varlığı bilgileri usulsüz olarak sorgulanmış ve bu bilgiler bazı özel şirketlere aktarılmıştı. İş işten geçtikten sonra da soruşturmalar , uzaklaştırmalar vs vs oldu. Ama bir kıymeti kalmadı çünkü güvenliğin en önemli ilkesi olan “SORUN OLMADAN ÖNLEM AL” ilkesi ihlal edildi.

Şimdi buradan yola çıkarak bu gibi durumlarda neler yapılmalı ve yapılmamalı üzerine birşeyler yazacağım. Önceliklemandoor.gif yapılan ilk hatadan başlayalım. Elinde şifresi olan herkesin sisteme girerek istediği kişinin bilgisine ulaşabilmesi. Bu derece önemli bilgilerin olduğu sisteme girebilmek için sadece bir şifre yeterli olmamalıdır. Mesela bu şifreleyle birlikte sisteme girecek kişinin bileceği özel bir veya daha fazla bilgi girilmesi gerekmeliydi. Bu şekilde kötü niyetli bir kişi şifreyi öğrense bile diğer bilgileri bulmakta zorlanabilirdi. Yapılan diğer bir hata ise “MİNİMUM YETKİ” ilkesinin ihlal edilmesi. Sisteme bağlı herkes aynı yetkilere sahip yani isteyen istediği kişinin bilgisine ulaşabiliyor. Bence burada hiyerarşik bir yapı olmalıydı. Yani öncelikle verileri gizlilik arz edecek kişilerin bilgileri ayrı bir alanda ve kısıtlı sayıda kullanıcı tarafından erişilebilir olmalıydı. Bazı bilgileri sadece Maliye Bakanı görüntülyebilmeliydi mesela. Böylece bir sorun olduğunda çözümü de kolaylaştırmış olurlardı. Örneğin A kişisinin bilgileri sorgulanmış diyelim o zaman sadece A kişisinin verilerine erişme imkanı olan kişiler sorumlu olacaktı.

Bu gibi olaylarda çıkarılacak çok fazla ders var. İster uygulama geliştirici olun , ister bir şirkette sistem yöneticisi olun; sisteminizi kullanıcıların İLK BAŞARILI GİRİŞTEN SONRA ŞİFRELERİNİ değiştirmelerini gerektirecek şekilde yapılandırır. Böylece üzerinizdeki sorumluluk kalkacaktır. Mesela sistem yöneticisi olarak şifre verdiğiniz bir kişinin bilgisayarında bir veri kayboldu yada bu bilgisayar ile yasak işler yapıldı. O zaman siz de zan altında kalırsınız. Ama şifrelerini değiştiremek zorunda kalırlarsa sorumluluk sadece onların olacaktır. Bu kural bu konuda çok deneyimli kişler tarafından katılıdığım bir Windows Server 2003 seminerinde bana sıkı sıkya öğütlenmişti. Gerçketen de dikkat edilmesi gereken bir nokta.

Diğer önemli bir konu ise güvenliğe sadece kendimiz için değil başkaları için de dikkat etmemiz gerektiği. Yani sizin için verileriniz önemli olmayabilir ama önceki yazımda da belirttiğim gibi başkalarının verilerine de sahipsiniz. En basiti cep telefonunuzda arkadaşlarınızın numaraları kayıtlı. O nedenle telefonunuza sahip çıkmalısınız. Aksi halde başkalarının sizin yüzünüzden rahatsız edilmesine sebebiyet verebilirsiniz. Maliyede yaşanan bu olayda da başkalarına ait bilgilerin çok iyi bir şekilde korunması lazımdı ama bunu ihmal etmişler.

Yukarıda sistem yöneticileri için söylediğim şey sizin için de geçerli. Yani kullandığınız sistem size otomatik bir şifre verebilir. Siz mutlaka bunu değiştirmeyi talep etmelisiniz.  Şifreyi size ağ yöneticiniz, proje yöneticiniz, arkadaşınız vs vs vermiş bile olsa  siz mutlaka değiştirmeyi talep etmelisiniz. Bu herkesin huzuru için gerekli bir şey. En basiti ben AJAX-TR‘ den sisteme giriş için aldığım şifremi değiştirmiştim hemen ama eposta için verilen şifreyi değiştiremediğim için o posta adresimi önemli işlerim için henüz kullanmıyorum .

Son olarak da “FAZLA YETKİNİN GÖZ ÇIKARCAĞINI” unutmayın. Yani kimseye gereksiz yetkiler , imkanlar vermeyin. Bunlar bir şekilde size sorun çıkarabilir. Belki o kişi kötü niyetli olmayabilir ama onun yerine sisteme giren bir kişi kötü niyetli olabilir. İhtiyaç olduğu durumlarda kontrollü bir şekilde yetkileri arttırabilirsiniz ama en başta az yetki vermek daima iyidir diye düşünüyorum.

Bu konuda söylenecek çok şey var onları da diğer yazılara bırakıyorum. Ama çıkarılacak en büyük ders “AMAN BİRŞEY OLMAZ BOŞVER” dememek gerektiği. Belki bir konuda önlemi alırsınız ve bakarsınız ki o kunuda hiçbir şeklide saldırı vs olmuyor. Bu sizde önlem almanın gereksiz olduğu gibi bir izlenime neden olmasın. Sonuçta güveklik birşeyin henüz olmamış olması olmayacağı anlamına gelmez. Diama tedbrili davranmakta fayda var. Bir başka Güvenlik Sanatı yazısında görüşünceye dek güvende kalın…

Reklamlar
Kategoriler:GÜVENLİK SANATI
  1. Henüz yorum yapılmamış.
  1. No trackbacks yet.

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Google+ fotoğrafı

Google+ hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Connecting to %s

%d blogcu bunu beğendi: