security | bildirgec.org

FireSheep, adlı Firefox uygulaması geçtiğimiz haftalarda popüler web sitelerinde güvenlik krizi yaratmıştı. Google, Facebook, Twitter, Amazon gibi büyük web sitelerinde kablosuz ağlar üzerindeki hesaplara kolaylıkla ulaşım sağlayabildiğiniz ve kullanıcıların erişemediği sayfalara erişim sağlayan FireSheep uygulaması büyük web sitelerinin aslında o kadar da iyi korunmadığının göstergesiydi.

Bu olayın ardından Digital Society, 11 popüler internet sitesi üzerinden güvenlik araştırması yaptı. Aralarında Facebook, Twitter, Hotmail, Gmail, Ebay, Flickr, Yahoo, Amazon gibi büyük sitelerin bulunduğu araştırma sonucu pek iç açıcı değil. Özellikle Facebook ve Twitter'ın durumu oldukça kötü.

Dünyanın en kalabalık ve en gelişmiş sosyal ağı Facebook, kullanıcılarının güven sorunundaki endişeleri üzerine yeni bir özelliği kullanıma açmak üzere. Bu yeni özellik sayesinde hesabınızın şifresinin çalınıp çalınmadığını veya başkaları tarafından kullanılıp kullanılmadığı endişesinde kalmanız gerekmeyecek.

"Hesap güvenliği" bölümü altında olacak bu yeni özellik sayesinde hesabınızın hangi zaman aralığında, yerini, saatini, hangi tarayıcı ve hangi cihaz ile ulaşıldığını öğrenebileceksiniz. İsterseniz o cihaz üzerinden ulaşımı da engelleyebilecek ve oturumu kapatabileceksiniz.

Günümüzde kullanılan blog sistemlerinin en büyüğü olan Wordpress şimdiye kadar yapılmış
en güvenli sistemlerden birisi olmasına rağmen alınmış olan bu güvenlik
önlemlerinin yanında blog'umuzun veya web sitemizin daha güvenli olması için bizim de yapmamız gereken birkaç önemli değişiklik var.

Güncelleme, Güncelleme, Güncelleme !!!

Şimdiye kadar yapılmış olan yazılım sistemlerinin hiçbirinde "bugların" veya "güvenlik açıklarının" blunmaması mümkün olmamıştır. Bu nedenle tüm yazılım sistemi üreticiler sürekli güncellemeler yayınlamakta ve bu açıkları kapatmaya çalışmaktadır. Güncellemenin en büyük faydalarından birisi sistemlere yeni yetenekler kazandırmaktır, fakat güncellemelerde bizim genellikle farketmediğimiz asıl önemli nokta varolan ve bilinen bug'ların giderilmesi ve güvenlik açıklarının kapatılmasıdır.

web sitelerinizin güvenliğinde, güvenlik taraması imkanı verecek ücretsiz web uygulama güvenliği test araçları bu makalede listelendi.

1- netsparker community edition (windows)

netsparker, sql injection + cross-site scripting sorunları tespit edebilir. tarama işlemi tamamlandıktan sonra bu konular için çözümler görüntüler.

2- websecurify (windows, linux, mac os x)

websecurify kolay kullanımlı ve otomatik olarak yazılımdaki zayıflıkları test eder, fuzzing teknolojilerini kullanarak web uygulama açıkları tespiteden açık kaynak kodlu bir araçtır. bu araç aynı zamanda çok dil desteği ve genişletilebilir eklenti desteği sunar.

Popüler internet tarayıcısı Firefox'un yayıncısı Mozilla, Firefox Lorentz'ı yayınladı. Firefox Lorentz (Firefox 3.6.4), yeni özellikleri ve güvenlik bakımından yenilikleri ile Firefox 4'e yol gösterecek. Yeni özelliklerin bu sürümlerde yayınlanmasıyla beraber yeni özellikler test edilmiş olacak.

Firefox Lorentz'ın en önemli özelliği flash, silverlight ve java çökmelerinden hiçbirşekilde etkilenmemesi. Bu yeni özelliği sayesinde kullanıcıları rahatsız etmeyecek.out of process pulg-ins (OOPP) ile sağlanan bu özellik ile Firefox'a entegre edilen tüm eklentiler tarayıcıdan bağımsız olarak çalışacaklar.

Google Chrome tarafından kullanılan bu özelliğin Firefox'a gelmesi ile beraber tarayıcı güvenliği oldukça artmış durumda. Ayrıca flash, Java, silverlight çökmelerinde Firefox etkilenmeden sadece o sekme etkilenecek.

Kum Havuzu (sandbox) tekniği de denilen bu uygulamayı önceki haftalarda ünlü güvenlik uzmanı dino dai zovi'de Google Chrome gibi tüm tarayıcıların kullanması gerektiğini belirtmişti (*).

Bu yeni özellik sayesinde hem çökmelerin önüne geçilmiş olunuyor, hem de saldırganlar tarafından daha fazla korunmuş oluyoruz. Önceden saldırganlar, tarayıcıyı ele geçirdiklerinde entegre olmuş eklentiler sayesinde işletim sisteminin tüm kontrolünü ele alabilirken artık bunu yapamayacaklar.

Microsoft, Google Chrome hakkında birçok farklı açıklamada bulundu. Açıklamaları Ingiletere'den Ashley Highfield yaptı.Highfield, kullanıcıların Internet Explorer'ın sunduğu birbirinden farklı birçok seçeneği daha iyi anlayacaklarını dile getirdi.

Chrome'un birleşik adres ve arama çubuğunda girilen her verinin Google'a gönderildiğini fakat Internet Explorer'da böyle bir şeyin mümkün olmadığını adres ve arama çubuklarının ayrı olduğunu savundu.

Google ,gmail'in son günlerde yavaşlamasını göz önünde bulundurarak radikal bir değişiklik yapacak. Son günlerde meydana gelen yavaşlamanın ve gmail'in aşırı saldırı almasından dolayı Google, Gmail'e olan güveni artırmak için http'den https'e geçiyor.

Google, önceki yıllarda Gmail kullancılarına bu kararı seçme şansı tanımışlardı. Yani http ve https arasında seçimi kullanıcılar yapıyordu. Fakat hizmet kalitesinin yükseltilmesini isteyen Google, https'inin tüm Gmail kullanıcıları için standart hale getirmeye karar verdi.

Gmail'in mühendislik direktörü Sam Schillace aşağıdaki açıklamada bulundu ;

2008'de https kullanma seçeneğini sunduk. Https ile e-postalar kullanıcının internet tarayıcısı ile sunucularımız arasında şifreli olarak iletiliyor. Https kullanımı, verilerin üçüncü partiler tarafından okunmasına karşı güvenlik sunuyor

Https gelmesiyle birlikte halka açık ağlarda gmail kullanıcılarının daha fazla güvende olmalarını sağlayacak. Fakat https, hizmeti yavaşlatabiliyor. google güvenliğin daha önemli olduğuna karar vermiş durumda.

Tanınmış güvenlik uzmanı olan Dino Dai Zovi, tüm tarayıcı geliştiricilerinin Google Chrome'u örnek alması gerektiği belirtti. Mac Hacker'ının El Kitabı yazarı Zovi, Chrome'un güvenilmeyen yanlarının işletim sistemi tarafından yalıtılma özelliğinin kritik olduğunu dile getirdi.

Ayrıca Kaspersky Labs'ta blogu bulunan Zovi, kum havuzu tekniği ile diğer uygulamalardan yalıtılan tarayıcının internet ve masaüstü güvenliği için kritik bir öneme sahip olduğunu belirtti. Bu açıdan diğer tarayıcıların bu özelliğe önem vermesi gerekiyor.

Herhangi bir saldırgan işletim sistemini ele geçirdiği anda tüm kontrolü eline alır. Fakat kum havuzu tekniği ile yalıtılmış yazılımları ele geçirmesi çok zordur. Tüm bunları yanında Zovi, uygulama erişimlerinin de gözden geçirilmesi gerektiğini söyledi.
Kum havuzu tekniği sayesinde saldırganlar daha zor methotlar uygulamak zorunda kalıyorlar.