Türkiye'nin en güncel forumlardan olan forumdas.com.tr'de forumda aktif ve katkısı olabilecek kişilerden gönüllü katkıda sağlayabilecek kişiler aranmaktadır.
iltasyazilim
FD Üye
INFOSECURE şirketi tarafından yapılan denetimler sonucu ortaya çıkan en manâlı 10 emniyet açığı aşağıdıdaki şekildedir;
Türkiye'deki Şirketlerde En Sık Rastlanan Güvenlik Açıkları :
1 Yanlış Kablosuz Ağ Yapılandırması
2 Hatalı Yapılandırılmış Sanal Özel Ağ (VPN) Sunucuları
3 Web Uygulamalarında SQL Sorgularının Değiştirilebilmesi
4 Web Uygulamalarında Başka Siteden Kod Çalıştırma
5 Kolay Tahmin Edilebilir Şifrelere Sahip Kullanıcı Hesapları
6 SNMP Servisi Kullanımı
7 Güncellemeleri Yapılmamış Web Sunucusu
8 İşletim Sistemi ve Uygulamaların Standart Şekilde Kurulması
9 Yanlış Yapılandırılmış Atak Tespit Sistemleri
10 Emniyet Duvarı Göre Korunmayan Sistemler
1 Yanlış Kablosuz Ağ Yapılandırması
Tanımlama :
Günümüzde kullanımı epeyce gelişen kablosuz ağlar, çoğu kurumun lokal ağının bir parçası olmuştur Fakat kablosuz ağ erişim noktalarının, istemcilerin ve kablosuz ağ tasarımlarının yapılandırmasında emniyet gereksinimleri gözönüne alınmamaktadır İstemcilerin kimlik doğrulamasının yapılmaması, kriptolu erişim kullanılmaması, kablosuz ağların emniyet duvarı aracılığıyla erişim denetimine alt tutulmaması ve sinyal kalitesinde kısıtlama olmaması, saldırganların kablosuz ağlara sızmasını kolaylaştırmaktadır Kablosuz ağlara sızabilen bir saldırgan, kurum yerel ağına girebilir, sunuculara erişim sağlayabilir, bütün ağ erişimlerini izleyebilir veya değiştirebilir
Çözüm Önerileri :
Kablosuz ağ tasarımı yapılırken, kablosuz ağın Internet gibi güvensiz bir ağ olduğu göz önüne alınmalı, emniyet duvarının DMZ bölümünden antre yapılması sağlanmalı, tercihen sanal özel ağ (VPN) sistemleri kullanılmalı, sinyal kalitesinde kısıtlamalara gidilmeli ve istemciler harici doğrulama sistemleri kadar kimlik kontrolüne tabi tutulmalıdır Kurum güvenlik politikası kapsamında, gezgin kullanıcıların sistemlerinde kurumda kullanılmamasına karşın kablosuz ağ kartı bulunması engellenmeli ve istemci kurumda iken ağ kartının devre dışı olması sağlanmalıdır
2 Yanlış Yapılandırılmış Sanal Özel Ağ (VPN) Sunucuları
Açıklama :
Sanal özel ağ (VPN) sunucuları güvensiz ağlar üstünde güvenli irtibat tünelleri meydana getirmek için kullanılmaktadır Genel başvuru alanları aralarında; kurum bölgeleri arası bağlantıları, çözüm ortakları ile iletişim, veya yolcu istemcilerin yerel ağa güvenli bağlanabilmesi sayılabilmektedir Sıkça karşılaşılan sanal özel ağ güvenlik açıkları arasında, sanal özel ağ sunucularında harici kimlik düzeltme sistemleri kullanılmaması, sunucunun yerel ağda bulunması sonucu yerel ağa aracısız olarak erişim, istemciler ile Internet arasında iletişim izolasyonu olmaması ve çelimsiz kriptolama algoritmalarının seçilmesi sayılabilmektedir Emniyet açığı barındıran sanal özel ağa sızabilen bir kavgacı, kurum ağına doğrudan erişim sağlayabilmekte ve yerel kullanıcı haklarına sahip olabilmektedir
Çözüm Önerileri :
Sanal özel ağ sunucuları kendilerine ayrılmış bir DMZ bölümü ve emniyet duvarı yoluyla lokal ağa bağlanmalıdır Böylece emniyet duvarına gelen irtibat kriptosuz olacak ve üzerinde erişim denetimi yapılabilecektir Yolcu kullanıcıların bağlantısında ise sayısal sertifika veya tek seferlik şifre gibi kimlik düzeltme yöntemleri kullanılmalıdır Kriptolama amaçlı kullanılacak algoritma mutlak suretle günümüzde zahmetsizce kırılamayan algoritmalar (3DES, AES vb) arasından seçilmelidir Kullanılacak istemci yazılımları, Internet kullanımı ile sanal özel ağ kullanımı arasında yalıtım yapmalı ve istemcilerin Internet'te farklı kaynaklara erişimini kısıtlamalıdır Hem uzaktan erişimlerde sahip olunan yetkiler, yerel ağda sahip olunan yetkilerden çok daha az olacak şekilde yapılandırılmalıdır
3 Web Uygulamalarında SQL Sorgularının Değiştirilebilmesi
Yorumlama :
Web uygulamalarında bazı bilgilerin tutulabilmesi için SQL veritabanları kullanılmaktadır Başvuru geliştiricileri, bir takım durumlarda kullanıcılardan gelen verileri beklenen data türü ile karşılaştırmayarak SQL sorguları içinde kullanmaktadırlar genel olarak problemler, tatbik geliştiricinin SQL sorgularında manâ açıklama edebilecek ‘ ; UNION gibi fena niyetli karakterlere karşısında bir tedbir almadığı süre ortaya çıkmaktadır Bu şart kullanıcıya evvelden planlanmamış dilekçe düzeyinde erişim sağlayabilir İçinde SQL sorgulama barındıran bir fazla mahsul SQL sorguları değiştirilebilmesine (SQL Injection) aleyhinde savunmasızdır Saldırganlar SQL sorgularını değişim tekniklerini web sitelerine ve uygulamalara kırmak amaçlı kullanmaktadırlar SQL enjeksiyon ile agresif tablo yaratabilir, şartların değişmesi yapabilir, veritabanı üstünde erişim sağlayabilir veya veritabanı kullanıcısının hakları doğrultusunda sunucuda komut çalıştırabilir
Çözüm Önerileri :
Uygulamanın bütün bileşenlerinde kullanılan değişkenler için kontroller oluşturulmalı ve değişkene atanması beklenen bilgi türü ile kullanıcı girdisi karşılaştırılmalıdır Beklenen girdi türünden ayrı karakterler saptanması durumunda, karakterler SQL sorgularında manâ ifade etmeyecek biçimde değiştirilmeli, silinmeli ya da kullanıcıya dikkat mesajı döndürülmelidir Tercihen uygulamanın tamamı için geçerli olacak, akıcı türü ve atanabilecek girdi türünü parametre olarak alan ve kontrolleri yaptıktan sonradan girdi kabul sonucu üreten sabit bir fonksiyon seçim edilmelidir
4 Web Uygulamalarında Diğer Siteden Kod Çalıştırma
Açıklama :
Diğer siteden kod çalıştırma (CrossSite Scripting) açıkları, bir saldırganın maksat web sitesi aracılığıyla site ziyaretçilerinin sisteminde komut çalıştırabilmesine olanak tanımaktadır Hamle sonucu olarak site ziyaretçilerinin browser'larında bulunabilecek güvenlik açıklarının kullanılması, JavaScriptActiveX ve VBScript komutlarının çalıştırılmasını olası kılmaktadır Bu nesil komutlar ile kullanıcıya ait site çerezleri alınabilir, kaydedilmiş şifreler çalınabilir veya browser'da bulunabilecek güvenlik açıkları ile kullanıcı sistemi ele geçirilebilir Ayrıca elektronik ticaret ya da bankacılık uygulamaları için sahte antre ekranları oluşturularak ziyaretçilerin yanıltılması ve sonucunda kullanıcıya ait kayda değer bilgilerin ele geçirilmesi olası olabilir
Çözüm Önerileri :
Uygulamanın tüm bileşenlerinde kullanılan değişkenler için kontroller oluşturulmalı ve değişkene atanması beklenen data türü ile kullanıcı girdisi karşılaştırılmalıdır Beklenen girdi türünden bambaşka karakterler (örn ;()) saptanması durumunda, karakterler anlam ifade etmeyecek biçimde değiştirilmeli, silinmeli ya da kullanıcıya uyarı mesajı döndürülmelidir Tercihen uygulamanın tamamı için geçerli olacak, akışkan türü ve atanabilecek girdi türünü parametre olarak bölge ve kontrolleri yaptıktan daha sonra girdi kabul sonucu üreten sabit bir fonksiyon tercih edilmelidir
5 Kolay Varsayım Edilebilir Şifrelere Sahip Kullanıcı Hesapları
Izah Etme :
Ağda bulunan istemci, sistem yöneticisi veya servislere özel kullanıcı hesaplarının basit varsayım edilebilir şifrelere sahip olması, bir saldırganın kurum ağına karşın kullanabileceği en basit atak yöntemidir Bilhassa yönlendirici yönetim şifreleri veya sunucu servislerine ait kullanıcı hesaplarının şifreleri kolayca tahmin edilebilmektedir Web temelli olarak uygulamaların yaygınlaşması ile web temelli olarak uygulamalar da şifre tercih hatalarından etkilenmektedir Bir saldırganın, yönetim hesaplarını ya da geçerli bir kullanıcıya ait şifreleri ele geçirmesi durumunda, kurum ağına sınırsız erişim sağlanabilmekte ve istenen ağ sistemi kolayca ele geçirilebilmektedir
Çözüm Önerileri :
Şifre seçimi, kalitesi ve yönetimi konusunda kurum politikası oluşturulmalıdır Ilk Kez sistem yöneticileri elde etmek üzere kullanıcıların şifre tercih kriterlerine uyumu, dizin hizmetleri ya da alan denetçileri ile sağlanmalı ve kullanıcıların daha zor tahmin edilebilir şifre seçimleri yapmaları sağlanmalıdır Özel dilekçe alanlarında (sanal özel ağ, ERP yazılımları, bankacılık uygulamaları vb) harici doğrulama sistemleri ya da sayısal sertifikalar kullanılmalıdır Web temelli olarak uygulamaların tasarımında, kullanıcı hesap yönetimi ve şifre seçimi konusunda, beklenen kriterlerin uygulanması mecburi olmalıdır
6 SNMP Servisi Kullanımı
Tanımlama :
SNMP protokolü, ağ idare ve izleme amaçlı olarak kullanılmaktadır Kurumsal ağlarda, birçok sunucu ya da ağ bileşeninde SNMP servisi kullanılmaktadır Kurumlar, Internet erişim ortamında emniyet duvarı yoluyla sunucularda bulunan SNMP servisine erişimleri engellenmektedir Ancak emniyet duvarının önünde yer almakta olan çoğu yönlendirici SNMP servisini ve SNMP servisinin yapısından kaynaklanan emniyet sorunlarını içermektedir UDP protokolü temelli olarak olması, kullanıcı adı ve şifre doğrulamaları kullanmaması, SNMP protokolünün en güçsüz yönlerindendir Yönlendirici üstünde bulunan SNMP servisini ele geçiren bir kavgacı, tüm kurumsal ağ trafiğini tünelleme ile kendisine aktarabilir, yönlendirme tablolarında değiştirme yapabilir ve kurum ağına geçiş için yönlendiriciyi atlama noktası olarak kullanabilir
Çözüm Önerileri :
Internet erişimine açık sistemlerde SNMP servisinin kullanılmaması tavsiye edilir SNMP protokolünün kullanılması zorunlu ise yönlendiricispiker üstünde bulunan paket filtreleme seçenekleri ve erişim kontrol kuralları aracılığıyla yalnızca bağlanması istenen sistemlere izin verilmelidir Keza SNMP erişimi için güç bir irtibat kelimesi tanımlanmalı ve iletişim TCP protokolü temelli veya yönlendiricispiker destekliyor ise kriptolu veri trafiği üzerinden yapılmalıdır *
Türkiye'deki Şirketlerde En Sık Rastlanan Güvenlik Açıkları :
1 Yanlış Kablosuz Ağ Yapılandırması
2 Hatalı Yapılandırılmış Sanal Özel Ağ (VPN) Sunucuları
3 Web Uygulamalarında SQL Sorgularının Değiştirilebilmesi
4 Web Uygulamalarında Başka Siteden Kod Çalıştırma
5 Kolay Tahmin Edilebilir Şifrelere Sahip Kullanıcı Hesapları
6 SNMP Servisi Kullanımı
7 Güncellemeleri Yapılmamış Web Sunucusu
8 İşletim Sistemi ve Uygulamaların Standart Şekilde Kurulması
9 Yanlış Yapılandırılmış Atak Tespit Sistemleri
10 Emniyet Duvarı Göre Korunmayan Sistemler
1 Yanlış Kablosuz Ağ Yapılandırması
Tanımlama :
Günümüzde kullanımı epeyce gelişen kablosuz ağlar, çoğu kurumun lokal ağının bir parçası olmuştur Fakat kablosuz ağ erişim noktalarının, istemcilerin ve kablosuz ağ tasarımlarının yapılandırmasında emniyet gereksinimleri gözönüne alınmamaktadır İstemcilerin kimlik doğrulamasının yapılmaması, kriptolu erişim kullanılmaması, kablosuz ağların emniyet duvarı aracılığıyla erişim denetimine alt tutulmaması ve sinyal kalitesinde kısıtlama olmaması, saldırganların kablosuz ağlara sızmasını kolaylaştırmaktadır Kablosuz ağlara sızabilen bir saldırgan, kurum yerel ağına girebilir, sunuculara erişim sağlayabilir, bütün ağ erişimlerini izleyebilir veya değiştirebilir
Çözüm Önerileri :
Kablosuz ağ tasarımı yapılırken, kablosuz ağın Internet gibi güvensiz bir ağ olduğu göz önüne alınmalı, emniyet duvarının DMZ bölümünden antre yapılması sağlanmalı, tercihen sanal özel ağ (VPN) sistemleri kullanılmalı, sinyal kalitesinde kısıtlamalara gidilmeli ve istemciler harici doğrulama sistemleri kadar kimlik kontrolüne tabi tutulmalıdır Kurum güvenlik politikası kapsamında, gezgin kullanıcıların sistemlerinde kurumda kullanılmamasına karşın kablosuz ağ kartı bulunması engellenmeli ve istemci kurumda iken ağ kartının devre dışı olması sağlanmalıdır
2 Yanlış Yapılandırılmış Sanal Özel Ağ (VPN) Sunucuları
Açıklama :
Sanal özel ağ (VPN) sunucuları güvensiz ağlar üstünde güvenli irtibat tünelleri meydana getirmek için kullanılmaktadır Genel başvuru alanları aralarında; kurum bölgeleri arası bağlantıları, çözüm ortakları ile iletişim, veya yolcu istemcilerin yerel ağa güvenli bağlanabilmesi sayılabilmektedir Sıkça karşılaşılan sanal özel ağ güvenlik açıkları arasında, sanal özel ağ sunucularında harici kimlik düzeltme sistemleri kullanılmaması, sunucunun yerel ağda bulunması sonucu yerel ağa aracısız olarak erişim, istemciler ile Internet arasında iletişim izolasyonu olmaması ve çelimsiz kriptolama algoritmalarının seçilmesi sayılabilmektedir Emniyet açığı barındıran sanal özel ağa sızabilen bir kavgacı, kurum ağına doğrudan erişim sağlayabilmekte ve yerel kullanıcı haklarına sahip olabilmektedir
Çözüm Önerileri :
Sanal özel ağ sunucuları kendilerine ayrılmış bir DMZ bölümü ve emniyet duvarı yoluyla lokal ağa bağlanmalıdır Böylece emniyet duvarına gelen irtibat kriptosuz olacak ve üzerinde erişim denetimi yapılabilecektir Yolcu kullanıcıların bağlantısında ise sayısal sertifika veya tek seferlik şifre gibi kimlik düzeltme yöntemleri kullanılmalıdır Kriptolama amaçlı kullanılacak algoritma mutlak suretle günümüzde zahmetsizce kırılamayan algoritmalar (3DES, AES vb) arasından seçilmelidir Kullanılacak istemci yazılımları, Internet kullanımı ile sanal özel ağ kullanımı arasında yalıtım yapmalı ve istemcilerin Internet'te farklı kaynaklara erişimini kısıtlamalıdır Hem uzaktan erişimlerde sahip olunan yetkiler, yerel ağda sahip olunan yetkilerden çok daha az olacak şekilde yapılandırılmalıdır
3 Web Uygulamalarında SQL Sorgularının Değiştirilebilmesi
Yorumlama :
Web uygulamalarında bazı bilgilerin tutulabilmesi için SQL veritabanları kullanılmaktadır Başvuru geliştiricileri, bir takım durumlarda kullanıcılardan gelen verileri beklenen data türü ile karşılaştırmayarak SQL sorguları içinde kullanmaktadırlar genel olarak problemler, tatbik geliştiricinin SQL sorgularında manâ açıklama edebilecek ‘ ; UNION gibi fena niyetli karakterlere karşısında bir tedbir almadığı süre ortaya çıkmaktadır Bu şart kullanıcıya evvelden planlanmamış dilekçe düzeyinde erişim sağlayabilir İçinde SQL sorgulama barındıran bir fazla mahsul SQL sorguları değiştirilebilmesine (SQL Injection) aleyhinde savunmasızdır Saldırganlar SQL sorgularını değişim tekniklerini web sitelerine ve uygulamalara kırmak amaçlı kullanmaktadırlar SQL enjeksiyon ile agresif tablo yaratabilir, şartların değişmesi yapabilir, veritabanı üstünde erişim sağlayabilir veya veritabanı kullanıcısının hakları doğrultusunda sunucuda komut çalıştırabilir
Çözüm Önerileri :
Uygulamanın bütün bileşenlerinde kullanılan değişkenler için kontroller oluşturulmalı ve değişkene atanması beklenen bilgi türü ile kullanıcı girdisi karşılaştırılmalıdır Beklenen girdi türünden ayrı karakterler saptanması durumunda, karakterler SQL sorgularında manâ ifade etmeyecek biçimde değiştirilmeli, silinmeli ya da kullanıcıya dikkat mesajı döndürülmelidir Tercihen uygulamanın tamamı için geçerli olacak, akıcı türü ve atanabilecek girdi türünü parametre olarak alan ve kontrolleri yaptıktan sonradan girdi kabul sonucu üreten sabit bir fonksiyon seçim edilmelidir
4 Web Uygulamalarında Diğer Siteden Kod Çalıştırma
Açıklama :
Diğer siteden kod çalıştırma (CrossSite Scripting) açıkları, bir saldırganın maksat web sitesi aracılığıyla site ziyaretçilerinin sisteminde komut çalıştırabilmesine olanak tanımaktadır Hamle sonucu olarak site ziyaretçilerinin browser'larında bulunabilecek güvenlik açıklarının kullanılması, JavaScriptActiveX ve VBScript komutlarının çalıştırılmasını olası kılmaktadır Bu nesil komutlar ile kullanıcıya ait site çerezleri alınabilir, kaydedilmiş şifreler çalınabilir veya browser'da bulunabilecek güvenlik açıkları ile kullanıcı sistemi ele geçirilebilir Ayrıca elektronik ticaret ya da bankacılık uygulamaları için sahte antre ekranları oluşturularak ziyaretçilerin yanıltılması ve sonucunda kullanıcıya ait kayda değer bilgilerin ele geçirilmesi olası olabilir
Çözüm Önerileri :
Uygulamanın tüm bileşenlerinde kullanılan değişkenler için kontroller oluşturulmalı ve değişkene atanması beklenen data türü ile kullanıcı girdisi karşılaştırılmalıdır Beklenen girdi türünden bambaşka karakterler (örn ;()) saptanması durumunda, karakterler anlam ifade etmeyecek biçimde değiştirilmeli, silinmeli ya da kullanıcıya uyarı mesajı döndürülmelidir Tercihen uygulamanın tamamı için geçerli olacak, akışkan türü ve atanabilecek girdi türünü parametre olarak bölge ve kontrolleri yaptıktan daha sonra girdi kabul sonucu üreten sabit bir fonksiyon tercih edilmelidir
5 Kolay Varsayım Edilebilir Şifrelere Sahip Kullanıcı Hesapları
Izah Etme :
Ağda bulunan istemci, sistem yöneticisi veya servislere özel kullanıcı hesaplarının basit varsayım edilebilir şifrelere sahip olması, bir saldırganın kurum ağına karşın kullanabileceği en basit atak yöntemidir Bilhassa yönlendirici yönetim şifreleri veya sunucu servislerine ait kullanıcı hesaplarının şifreleri kolayca tahmin edilebilmektedir Web temelli olarak uygulamaların yaygınlaşması ile web temelli olarak uygulamalar da şifre tercih hatalarından etkilenmektedir Bir saldırganın, yönetim hesaplarını ya da geçerli bir kullanıcıya ait şifreleri ele geçirmesi durumunda, kurum ağına sınırsız erişim sağlanabilmekte ve istenen ağ sistemi kolayca ele geçirilebilmektedir
Çözüm Önerileri :
Şifre seçimi, kalitesi ve yönetimi konusunda kurum politikası oluşturulmalıdır Ilk Kez sistem yöneticileri elde etmek üzere kullanıcıların şifre tercih kriterlerine uyumu, dizin hizmetleri ya da alan denetçileri ile sağlanmalı ve kullanıcıların daha zor tahmin edilebilir şifre seçimleri yapmaları sağlanmalıdır Özel dilekçe alanlarında (sanal özel ağ, ERP yazılımları, bankacılık uygulamaları vb) harici doğrulama sistemleri ya da sayısal sertifikalar kullanılmalıdır Web temelli olarak uygulamaların tasarımında, kullanıcı hesap yönetimi ve şifre seçimi konusunda, beklenen kriterlerin uygulanması mecburi olmalıdır
6 SNMP Servisi Kullanımı
Tanımlama :
SNMP protokolü, ağ idare ve izleme amaçlı olarak kullanılmaktadır Kurumsal ağlarda, birçok sunucu ya da ağ bileşeninde SNMP servisi kullanılmaktadır Kurumlar, Internet erişim ortamında emniyet duvarı yoluyla sunucularda bulunan SNMP servisine erişimleri engellenmektedir Ancak emniyet duvarının önünde yer almakta olan çoğu yönlendirici SNMP servisini ve SNMP servisinin yapısından kaynaklanan emniyet sorunlarını içermektedir UDP protokolü temelli olarak olması, kullanıcı adı ve şifre doğrulamaları kullanmaması, SNMP protokolünün en güçsüz yönlerindendir Yönlendirici üstünde bulunan SNMP servisini ele geçiren bir kavgacı, tüm kurumsal ağ trafiğini tünelleme ile kendisine aktarabilir, yönlendirme tablolarında değiştirme yapabilir ve kurum ağına geçiş için yönlendiriciyi atlama noktası olarak kullanabilir
Çözüm Önerileri :
Internet erişimine açık sistemlerde SNMP servisinin kullanılmaması tavsiye edilir SNMP protokolünün kullanılması zorunlu ise yönlendiricispiker üstünde bulunan paket filtreleme seçenekleri ve erişim kontrol kuralları aracılığıyla yalnızca bağlanması istenen sistemlere izin verilmelidir Keza SNMP erişimi için güç bir irtibat kelimesi tanımlanmalı ve iletişim TCP protokolü temelli veya yönlendiricispiker destekliyor ise kriptolu veri trafiği üzerinden yapılmalıdır *
