Tarih : 2 Mayıs 2006
Daha önce yine burada
bahsetmistik, buyuk yazilim firmalari, yama yonetimi ve guvenlik
aciklarinin kapatilmasi konusunda ciddi sikintilar yasiyorlar. Yazilim
firmalari guvenlik aciginin kendilerine bildirilmesini takiben
calismalara basliyorlar ve aylarca acigi kapatmaya calisiyorlar. Sonuc
ise genellikle husran oluyor ve guvenlik aciginin kaynagini kapatmak
yerine gecici cozumler uretiyorlar, daha sonra ise bu gecici lafi kalici
oluyor ancak cozume ait bir gelisme yapilmiyor. Bizler de sanal
guvenlik hissi beraberinde geceleri rahatca uyuyoruz.
Sikinti
nerede olabilir ? Belki yama gelistirme surecinde, belki guvenlik
acigina verilen onemde, belki de guvenlik aciginin duyurulmasina verilen
onem de gizli. Tamam bu soruya cevap arayabiliriz, ancak unutmayalim ki
sadece buyuk firmalar bu sorunu net olarak cozebilirler (cunku sorun
onlarin), biz sadece durum saptamasi yapabiliriz ve cozume katki da
bulunabiliriz. Yazinin amaci da budur aslinda, buyuk firmalarin yama
gelistirme surecine elestirel bir bakis ortaya koymak.
Onceki
yazimizda bahsettigimiz gibi Microsoft guvenlik aciklarina yama
gelistirmek icin aylarca bekleyebiliyordu, ancak guvenlik acigi
duyurulmus ise bu surec birden kisaliyordu. Benzer seyler Oracle, Apple
ve IBM gibi diger dunya devleri icinde gecerli, onlar da guvenlik
acigina yama gelistirirken onceligi farkli seylere -biz ne oldugunu
bilmiyoruz- veriyorlar.
Bu konuya el attigimizdan bu yana daha
dikkatli izliyorum olaylari, misal Oracle gectigimiz gunlerde yeni
yamasinda bazi sorunlar yasadi ve artik sorun oldukca ciddi boyutlara
ulasti. Ayni seyler Microsoft'un basindan gecti ve artik guvenlik
acigini bulan Microsoft'a bildirmek yerine acikca tartisiyor ve cozum
istiyor. Dolayisiyla insanlar sistemlerinde bulunan guvenlik aciklari
hakkinda bilgi sahibi olmak ve cozum onerisinin suratle gelistirilmesini
istiyorlar.
Oracle'in yasadigi problemi biraz detaylandiralim
(bu yazimizda temsili taslarimiz Oracle'a gidecek) , yuksek oncelikli
bir guvenlik acigi bulunur - David Litchfield tarafindan- (Ocak 2005),
sonrasinda guvenlik acigi Oracle'a bildirilir (Subat 2005), Oracle
tarafindan Subat 2005 - Nisan 2006 arasinda 4 adet yama seti hazirlanir
ve sonuc guvenlik acigi halen devam etmektedir. Ayrica guvenlik acigina
ait exploit artik herkes tarafindan kullanilabilir hale gelmistir. Ayni
guvenlik acigi bircok guvenlik acigi gelistiricisi tarafindan
saptanmistir ve bunlar e-posta listelerinde konusulmaktadir.
Ancak
Oracle'in en cok elestirildigi konu (ki bizim ustunde israrla
durdugumuz) guvenlik acigi ile ilgili yamanin hazirlanirken sadece
kendisine bildirilen bolumlerdeki aciklari kapatmasi, ancak bu
fonksiyonu veya sureci kullanan diger bolumlerde ayni acigin
kapatilmamasi.
Geldigimiz nokta ayni, "Buyuk yazilim/donanim
firmalari guvenlik aciklarina sadece kucuk bir hata gozuyle bakiyor ve
zorunluluktan dolayi duzeltiyor." Pazarlama amacli "Unbreakable" veya
"Security Research Team" benzeri kavramlar ortaya atiyorlar ve yollarina
devam ediyorlar. Oysa bizler, yani bu yazilimlarin kullanicilari soz
konusu aciklar ile beraber yasayarak ve uretilen yetersiz yamalar ile
rahatlamis olarak sicak yataklarimizda uyuyoruz.
Buyuk firmalarin
cozum sureci konusunda caba gostermesi gerekiyor, ancak bizim de onlari
zorlamamiz gerektigi ortada. Neden gosterdikleri cabanin yetersiz
oldugu tartisilmali, yeni guvenlik acigi saptama ve yamalama yontemleri
gelistirilmeli. Daha onemlisi yazilim gelistirilirken ve tasarlanirken
guvenligin de bir parcasi oldugu onlara hissettirilmelidir.
Sizler
Checkpoint/ISS/Symantec gibi firmalarin urunlerini alirken nelere
dikkat ediyorsunuz ? Guvenlik aciklarinin olup olmadigi, tasarimlarinda
guvenlik sikintilari bulunup bulunmadigi veya sizin guvenlik halkanizi
guclendirip guclendirmedigi sizin icin bir kriter degil mi ? O zaman
aginizin veya sisteminizin bir parcasi olan, ancak guvenlik teknolojisi
olmayan urunlerden de ayni seyleri beklemek hata mi olur ? Sadece
guvenlik aciginin duyurulmasi durumunda harekete gecen, hazirladigi
yamalarin yetersiz oldugunu kabul etmek yerine pazardaki hakim durumuna
guvenen firmalar ile ilgili olarak secim kriterlerimizi gozden
gecirmemiz gerekmiyor mu ?
Ezcumle, bizler ne zaman kervan yolda
duzelir zihniyetinden kurtulup, sahip oldugumuz seyleri koruma
onlemleriyle desteklemek yerine, onlarin guvenli olmasini secim kriteri
yaparsak o zaman firmalar guvenlik surecinde adim adim da olsa
ilerlemeye baslayacaklardir. Bizlerde ancak o zaman guvenlik
urunlerimizin bildigi ve yazilimlarimizin onlem olarak yamalandigi
guvenlik aciklarindan hala korkuyor olmayiz.
Fatih Ozavci
Bilgi Güvenliği Danışmanı
Oracle 10g 10.2.0.2.0 DBA exploit
http://www.securityfocus.com/archive/1/431353
RE: Recent Oracle exploit is _actually_ an 0day with no patch
http://www.securityfocus.com/archive/1/432399/30/30/threaded
http://www.securityfocus.com/archive/1/432393/30/30/threaded
http://www.securityfocus.com/archive/1/432354/30/30/threaded
http://www.securityfocus.com/archive/1/432355/30/30/threaded
Oracle Critical Patch Update - April 2006
http://www.oracle.com/technology/deploy/security/pdf/cpuapr2006.html
Critical Patch Update - January 2006
http://www.oracle.com/technology/deploy/security/alerts.htm
Critical Patch Update - October 2005
http://www.oracle.com/technology/deploy/security/pdf/cpuoct2005.html
Critical Patch Update - April 2005
http://www.oracle.com/technology/deploy/security/pdf/cpuapr2005.pdf
Critical Patch Update - January 2005
http://www.oracle.com/technology/deploy/security/pdf/cpu-jan-2005_advisory.pdf
