Bilişim sistemlerindeki hatalar

Bilişim sistemlerindeki hatalar Bilişim Hukuku Derneği tarafından hazırlanan bir rapor ulaştı elimize. Adliyelere yansıyan suç dosyalarından ve aynı zamanda Derneğin bilişim uzmanlarınca yapılan çalışmalardan derlenerek hazırlanmış bir çalışma. Raporun amacı; içeriğinde sunulmuş olan bilgiler doğrultusunda Kamuoyunun, Kamu Kurum ve kuruluşların, bankaların, elektronik ticaret alanında faaliyet gösteren firmaların ve diğer tüm ilgililerin bilgilendirilmesi ve tedbir almalarının sağlanmasıdır. Siber güvenlik konusu içinde bulunduğumuz dönem itibariyle kişiler, şirketler ve devletler açısından büyük önem arz etmektedir. Siber güvenlik konusunda oluşabilecek muhtemel açıklar telafisi mümkün olmayan zararlara, büyük maddi kayıplara ve hatta Devlet güvenliğinin riske girmesine neden olabilir. İnternet siteleri, yapıları itibariyle bir bilgisayar üzerinde isteklere cevap veren yazılımlarla oluşturulan, herkese açık bir protokoldür. Siteyi oluşturan ve yöneten kişilerin davranışları ve isteklerine göre saklanan kimi bilgiler herkese açık, kimi bilgiler ise sadece belirli kullanıcıların görebilecekleri şekilde filtrelenirler. E-posta gönderebilmek için kullanılan mail sistemleri, kullanıcı adı ve şifre gibi (kimi zaman telefon doğrulaması) 2 veya 3 sabit değere bağlı olarak çalışırlar. Sistemin mail sahibini tanıması için bu bilgiler yeterlidir. Bu açıdan bakıldığında bu bilgilere bir şekilde ulaşan herhangi başka bir şahıs, asıl yetkili adına mail gönderebilir, mailleri görüntüleyebilir veya sistemde herhangi bir değişiklik yapmadan akışı izleyebilir. Herhangi bir özel bilgi içermeyen mail adresleri için bu bir sorun teşkil etmese de kurumlar için bu tarz bir zafiyet, güvenlik açısından fazlasıyla önemlidir. İnternet siteleri, yapıları itibariyle kendisine verilen komutlara cevap verecek şeklinde oluşturulmuştur. Yayını gerçekleştiren sunucu bilgisayar üzerine erişilip isteğe uygun komutların yazılması, istenilen bilgilere ulaşılabileceği anlamını taşır. Bir web sayfasının herhangi bir kısmında bulunan güvenlik açığı kullanılarak, o bilgisayar üzerinde erişim izni için şifre isteyen herhangi bir bilgi kolaylıkla ulaşılabilir hale gelebilmektedir. Peki bu ne gibi sıkıntılara yol açar? İnternetten alışveriş yapmak ve ticaret gerçekleştirmek günümüzde fazlasıyla popülerdir. Kredi kartı sahipleri sadece saniyeler içerisinde istedikleri ürünü satın alabilmektedirler. İnanılmaz derecede hızla yükselen bu teknoloji, kolaylaştırdığı hayatın yayında büyük riskleri de beraberinde taşır. E-ticaret siteleri bu hızlı teknolojiye yardımcı olmak ve kimi zaman ise bilgi deposu oluşturabilmek için kullanıcıların sisteme giriş yaptığı verileri saklarlar. Bir sonraki alışverişlerinde herhangi bir bilgiye ihtiyaç duymadan tek tıkla sistemdeki kart bilgileriyle alışveriş yapabilme imkanı sunan siteler, üyelerin kredi kartı bilgilerini kendi veritabanlarında saklamaktadırlar. Mail sistemindeki gibi e-ticaret sitelerinin de sizi tanıyabilmesi için kimi bilgileri sisteme girmeniz gerekmektedir. Mail sisteminde verilen örnekler bu kısım için de geçerlidir. Sistem üzerinde yönetim gücüne sahip olabilmek ve site veritabanındaki bilgilerin hepsine sınırsız bir erişim sağlamak, sadece adres çubuğundan siteye gönderilecek bir satır kod kadar basit olabilmektedir. Yazılımsal, tasarımsal ve sunucu bazlı güvenlik zafiyetleriyle herhangi bir kullanıcı adı şifreye bağlı olmadan web sitelere tamamen hükmedebilir, kimi zaman site yöneticisinin de yetkisinin üzerinde işlemler gerçekleştirebilirsiniz. (SQL Injection, XSS ve RFI gibi methodlar, günümüzde birçok web sitesinde karşılaşılan ve ciddi sorunlara yer açan maniplasyon yöntemlerindendir.) Güvenlik riskleri sadece internet siteleri ve mobil uygulamalar için geçerli değildir. Bir bilgisayar üzerinden bir ağa bağlı olarak hizmet veren, tüm donanımlar ve yazılımlar kapsamları çerçevesinde kendilerine problem doğurabilmektedirler. Televizyon yayını gerçekleştiren donanımlar, yurt çapındaki ATM?ler, trafik lambaları, POS cihazları ve daha fazlası... Cep telefonunuzdan yaptığınız bir havale işlemi, transfer yaptığınız tarafa ulaştığında tutar ATM üzerinde görüntülenebilmektedir. Aynı şekilde internet üzerinde kredi kartıyla yaptığınız işlemi, bankanın mobil uygulaması ile işlem detayları şeklinde inceleyebilirsiniz. Çerçeveye geniş açıdan baktığımızda, aslında platform farkı gözetmeksizin tüm işlemlerin ana bir birimde gerçekleştirilip yansı sonuçların farklı yerlerden ulaşılabilir halde olduğunu görüyoruz. Tüm faaliyetler sırasında birçok internet ağ yapısı, farklı cihazlara uygun yazılımlar, intranetler ve veritabanları devreye giriyor. Bu da daha grift bir yapı alarak zafiyet riskini artırıyor. Kontrol edilebilir en rahat ve güvenlikli sistem, fişi çekilmiş olan yapıdır. Tamamen güvenliğine hükmettiğinizi düşündüğünüz anda gelen bir yazılım güncellemesi sizi tekrar çalışma yapmaya iter. Bu döngü herhangi bir zamanda doygunluk noktasına ulaşamayacağı için güvenlik konusu, başa gelen ciddi bir marka veya ticari kayıptan sonra değil, öncesinde rutin olarak ele alınması gereken önemli bir başlıktır. Bu güvenlik zafiyetleri, sızma testi (penetrasyon test) adıyla gerçekleştirilen testlerle, ön görülebilir şekilde raporlandırılırlar. Bankacılık mevzuat hükümleri de bu testin yaptırılması (belirli aralıklarla) zorunlu kılınmıştır. Bankalar tüm platformlardan istek alabilir şekilde yapılandırıldığı için, donanıma ve yazılıma sahip olduğu tüm alanlarda farklı türde risklere sahiptir. Mobil uygulama üzerinden kredi kartı hesabınıza erişebiliyor olmanız, ciddi bir kolaylık olduğu gibi, zararlı faaliyet yürüten ve yüklü diğer uygulamalara erişim izni almış olan bir mobil yazılım, sizin gerçekleştirebileceğiniz tüm aksiyonları hesabınız üzerinde gerçekleştirebilir. Bunun için ekstra herhangi bir bilgiye ihtiyaç duymadan telefonunuzu bir zombi olarak kullanarak kendisini bir perde arkasında da gizleyebilir. Bu da yasal olarak, kişilerin bulunabilmesi için ehemmiyetli bir zorluk çıkarmaktadır. Yorucu bir gün sonrasında kahve içmek için arkadaşınızla oturduğunuz bir kafede ödeme yaptığınız anda dahi bilgileriniz başkalarının eline geçebilir. Bunu paranoya haline dönüştürmeye gerek yok desek de, durum ne işletmenin ne de sizin elinizde. Yeni teknolojilerle birlikte artık bir işletme için birden fazla pos cihazına ihtiyaç yok. İşletmeye konulan bir sunucu yardımıyla (POS Server) seyyar cihazlar ödeme işlemlerini WIFI ağı üzerinden sunucuya gönderiyor ve işlem tek bir bilgisayar üzerinde gerçekleştiriliyor. Birden fazla masada ödemenin alınabilmesi için birden fazla pos cihazı yerine sadece ödeme detayının ve şifre bilgilerinin girilmesi için POS cihazına benzer donanımların WIFI üzerinden sunucuya bilgi aktarması, maliyet açısından daha avantajlı görünüyor ve dünya bu teknolojiye geçiş yapıyor. Tekrar tekrar anlatıldığı gibi, teknolojinin bu hızla ilerlemesi iyi yanlarıyla birlikte kötü senaryoları da peşinden sürüklüyor.
Orjinal Köşe Yazısına Git