Dijital dünyayla iç içe geçen dünyamızda karşılaşılan en büyük problemlerden biri güvenlik açığı problemidir. Bu problemin önüne geçmek için dijital imza kullanılsa da konu hakkında daha fazla bilgiye sahip olunmalı ve daha kapsamlı önlemler alınmalı. Konuyla alakalı detayları öğrenmek için okumaya devam edebilirsiniz.
Güvenlik Açığı Nedir?
Bilgi Sistem Güvenliği yani ISO 27002’ye göre güvenlik açığı “Bir veya daha fazla tehdit tarafından istismar edilebilecek bir varlığın veya varlık grubunun zayıflığıdır.” Bu açık, korsanlar tarafından istismara açık herhangi bir zayıflığı tanımlar.
Güvenliği zor duruma sokacak tehditler, zarar vermek amacıyla yararlanılabilecek herhangi bir durumu veya taktikleri tanımlar. Söz konusu güvenlik olunca genellikle risk ölçülür. Burada amaç riski anlamak, azaltmak ve kontrol etmektir. Tehdit ve güvenlik açıklarının bir araya gelmesi risk teşkil eder. Genellikle bir kod veya araç ile ortaya çıkan güvenlik açıkları açıklardan yararlanma olarak ifade edilir. Söz konusu güvenlik açıklarından yararlanılması durumunda sonuçlar ciddi olabilir. Veriler tehlikeye girebilir, kurumların kodları, sistemleri ve hassas verileri açığa çıkabilir.
Güvenlik Açığı vs. Sömürü vs. Tehdit
Siber güvenlik riskini kontrol altına almak için esas olan güvenlik açığı, açıktan yararlanma ve tehdit arasındaki farkı anlamak gerekir.
Güvenlik açığında korsanlar sisteme veya ağa doğrudan yetkisiz erişim sağlayabilir. Bunun yanında güvenlik açığı bir yazılım kodu kusuru veya yanlış sistem yapılandırılması olarak da ortaya çıkabilir. Kontrolü ele alan korsan, yetki ve ayrıcalıklardan faydalanarak sistemleri ve varlıkları tehlikeye atabilir.
İstismar, korsanların saldırı düzenlemek amacıyla güvenlik açığını kullandıkları bir araçtır. Genellikle istismar bir dizi komut veya özel hazırlanmış bir yazılım parçasıdır. Rig, Magnitude ve Fallot gibi güvenliği ve açıkları sürekli taradıkları güvenliğe uymamış internet sitelerine yerleştirilebilen istismar kitleri dahi mevcuttur. Bu zafiyet fark edildiği anda kit, açıktan yararlanmaya çalışır.
Tehdit ise bir veya daha fazla istismarın güvenlik zafiyetini kullanarak saldırı başlattığı gerçek veya varsayımsal bir durumdur.
Yaygın Güvenlik Açığı Türleri
Güvenlik zafiyetinden yararlanmak için korsanların kullandığı bazı istismarlar vardır. Bu istismarlar arasında yayın olanlar şunlardır:
1. SQL Enjeksiyonu
En yaygın olan güvenlik zafiyeti türlerinden biridir. SQL enjeksiyonla amaçlanan bir web sitesine veya uygulamaya verilere ciddi anlamda zarar verebilecek kötü amaçlı bir yük enjekte etmektir. Enjekte işlemi tamamlandıktan sonra korsan, veri tabanında oluşturacağı SQL komutları ile kullanıcı kimlik verilerine ulaşabilir ve bu bilgileri çalabilir.
2. Bozuk Kimlik Doğrulaması
Kimlik bilgilerinin çalınması veya tehlikeye girmesi halinde, bilgileri ele geçiren korsan bilgilerini çaldığı kullanıcı gibi davranarak kritik bilgilere erişim sağlayabilir.
3. XSS
XSS yani siteler arası komut dosyası çalıştırma, başka bir enjeksiyon tarzıdır. Web tarayıcıları hedeflenir ve kötü amaçlı komut dosyaları kullanma girişiminde bulunularak bilgileri çalmak veya yok etmek amaçlanır. Bu tarz saldırılar genellikle kurumları değil, bireysel kullanıcıları hedef alır. Kötü amaçlı kod genellikle resmi olan bir web sitesine veya uygulamaya gömülür.
Böylelikle sayfayı ya da uygulamayı kullanan kişinin tarayıcısına kötü amaçlı komut dosyası gönderilir. JavaScript, siteler arası komut dosyası çalıştırmaya izin verir ve böylece korsanların kullanıcı tanımlara verilerine erişme izni de olur. Bu saldırı kullanıcının kimliğini, konumunu, kamerasını ve mikrofonunu tehlikeye atabilir.
4. Yanlış Güvenlik Yapılandırılması
Yanlış güvenlik yapılandırılması ile kurumların veya işletmelerin sistemleri, siber tehditlere açık bir hale gelir veya web uygulamalarında güvenlik eksikliği yaşanır. Bu tarz yanlış yapılandırmalar yaygınlaşır. Genellikle yükselen uygulama yığını seviyelerinde diğerlerine dokunulmadığı takdirde ortaya çıkar. Bunun sebebi, varsayılan ayarların ele alınmayan güvensizlikleri içermesinden kaynaklıdır.
Güvenlik Açıklarına Ne Sebep Olur?
Güvenlik açıkları temelde beş farklı sebepten dolayı ortaya çıkabilir:
- İnsan hatası sebebiyle ortaya çıkabilir. Son kullanıcıların kimlik avı ve diğer sosyal mühendislik taktiklerin mağdurları olması sonucunda güvenlik açığının en büyük sebeplerinden biri olurlar.
- Yazılımsal hatalar güvenlik zafiyetine sebebiyet veren diğer sebeplerden biridir. Yazılım hatalar korsanların kuruluşların veya işletmelerin donanım, yazılım, veriler ya da diğer unsurlara yetkisiz olarak erişebilmek için kullandıkları kod yazılımındaki hatalardır. Amaçlanan hassas verileri ele geçirmek, etik olmayan ya da gayri meşru yetkisiz eylemler yapmaktır.
- Sistem karmaşıklığı da güvenlikte zafiyet oluşmasına sebep olabilir. Sistemin çok karmaşık olması, beraberinde yanlış yapılandırma, hata veya istenmeyen ağ erişimi olasılığını getirir.
- Artan bağlanılabilirlik de güvenlik zafiyeti açısından bir sebep oluşturur. Bir ağa çok sayıda cihazın bağlı olması, saldırılar için yeri erişim noktaları oluşmasına sebep olur.
- Zayıf erişim kontrolü ise bir diğer sebeptir. Bazı kullanıcıların veri veya sistemlere daha fazla ihtiyaç duymasından fazla erişim sağlamak istemesi, işletmelerin veya kurumların kullanıcı rollerini yanlış yönetmesi sistemleri içerden olduğu kadar dışardan da savunmasız bir hale getirir. Ağlar ihlallere açık bir duruma gelir.
Nasıl Tespit Edebilir ve Düzeltirsiniz?
Siber saldırılar karşısında en iyi savunma saldırıdır. Kuruluşların ve işletmelerin öncelikleri, tarayıcılar ve tehdit alma teknolojisi gibi uygun araçları kullanarak potansiyel tehditleri belirlemek olmalıdır. Belirlenen tehditler önem sırasına göre sıralandıktan sonra ortadan kaldırılması veya hafifletilmesi yönünde gerekli adımlar atılmalıdır.
Bulunan açıkları ve tehditleri düzeltmenin en yaygın türleri şunlardır:
- Virüs koruma yazılımı ve koruma önlemleri kullanmak,
- Düzenli olarak işletim sistemi yama güncellemeleri yapmak,
- Wi-Fi güvenliğini sağlamak için Wi-Fi ağlarını koruyan ve gizleyen uygulamalar kullanmak,
- Ağ trafiğini izlemek için bir güvenlik duvarı yüklemek veya güncellemek,
- En az ayrıcalıklar ve kullanıcı denetimleri kullanarak güvenlik erişimi uygulamak ve buna zorlamak.
Böylelikle bu yöntemleri kullanarak var olan tehditleri ortadan kaldırmak mümkün.
Kazım Emre Akarsu, 2012 yılından beri Bilgisayar Mühendisi olarak çalışmaktadır. 2017 yılında Mesnet Bilişim Teknolojileri şirketini kurmuş ve Mespact Dijital İmza Uygulaması’nı geliştirmiştir.