Web 2.0 Güvenli mi?

[fuzbing]

Güvenlik uzmanlarının çoğu bugünlerde bu soruyu cevaplıyor ve birçoğunun cevabı ise güvensiz olduğu yönünde. Paul Ferguson, Trend Micro güvenlik uzmanı, Web 2.0'ı: "Temelde, online kullanıcılarımızın güvenliğinin aşılabilir olduğunu test ediyoruz." şeklinde özetliyor.

Jon Orbeton, IronPort stratejik ürün yöneticisi, konuyla ilgili olarak: "Web 2.0 siteleri kullanıcı işbirliği ve kullanıcıların girdileriyle oluşuyor. Bu yüzden ne zaman bir kullanıcı girdisiyle oluşturulan sayfa başka biri tarafından açılırsa bu bir risk oluşturur." dedi.

Bob Buffone, Nexaweb şef mühendisi, bir Web 2.0 tabanlı uygulama sağlayıcısı olarak: "Son kullanıcı tarafından bakarsak 3. parti kod eklemeleri -iFrame, Ajax... vs- bir web sitesiyle son kullanıcı arasındaki güvenilirliği kırıyor." şeklinde görüşünü bildirdi.

Tüm bu şeylerin bulunduğu sayfaları son kullancıların görmesi mümkün değil. İyi programlanmış bir site dışardaki bir kaynaktan aldığı dataları öncelikle kontrol edip daha sonra kullanıcıya gönderir. Programcılar buna "girdi doğrulaması (input validation)" der. Eğer bu kodların arasında tehlikeli bir şeyler varsa bunların iptal edilmesi gerekir. Fakat birçok kaynaktan alınan veriler için bu işlem zordur, genellikle de içeriğinde zararlı kodların olup olmadığı kontrol edilmeden gönderilir. Ayrıca güvenli dediğimiz bir çok sağlayıcı da aslında son günlerde malesef güvensiz.

Web 2.0 doğası gereği birçok data diğer kaynaklardan toplanır bu eğlenceli olduğu kadar da tehlikelidir. Randy Abrams, ESET güvenlik uzmanı, "Bunu daha tehlikeli kılan aslında kullanıcı işbirliğidir. Şu günlerde bir veri patlaması yaşanıyor. 10 yıl önce GeoCities ile daha güvendeydik. Ortalığı karıştırabilecek kötü çocuklar yoktu şimdiki kadar"

"GeoCities birkaç tane apartman gibiydi fakat MySpace insanların kirli çamaşırlarını sağa sola astığı bir Time meydanından farksız." diye ekledi.

Neyse ki, bazı Web 2.0 liderleri bu durumu düzeltmeye başladı. MySpace, güvenlik uzmanlarının uyarısıyla kod enjeksiyonlarını engellemek adına çeşitli güvenlik önlemleri aldı.

Mary Landesman, ScanSafe güvenlik uzmanı, "Şuanda Web 2.0 için en büyük tehlikelerden biri kod enjeksiyonu. Eğer geliştiriciler tüm girdileri kontrol edip içeriklerini filtrelerse bu önlenebilir bir sorun. Fakat çoğu kişi bunu yapmıyor nedeni ise bunun birinci işleri olduğunu bilmemeleri." şeklinde görüşünü bildirdi. "İyi ve kötü site arasındaki sınır 'cross-site' saldırılarının çözümüdür. Tehlike için her zaman kötü sitelere girmenize gerek yoktur. Bazen yasal bir siteye girersiniz fakat içerisindeki tehlikeli kodlar sizi farkında olmadan kötü bir siteye yönlendirebilir." diye ekledi.

Bunlar Harmanlanacak mı?
Tüm bu güvenlik sorununu çözmek kolay değildir. İstediğiniz kadar antivirüs veya firewall kurun eğer bilgisayarınızda port 80 açıksa ve tüm javascript kodlarına izin veriliyorsa birçok güvenlik probleminiz vardır demektir.

Yuval Ben-Itzhak, Finjan teknoloji şefi, konuyla ilgili olarak: "Ajax, JavaScript kadar güvenlidir. Nasıl ki JavaScript tarayıcıları kırmada ne kadar yaygınsa. Ajax'ın riski sayfa yüklendikten sonradır, uzaktaki bir servera ulaşabilir ve tüm içeriği bilgisayarınıza indirir. Daha kötüsü bazı zararlı kodlar küçük parçalar halinde bilgisayarınıza gelir, bu da bir bütün halinde tarama yapan güvenlik önlemlerini aşar." dedi.

Bu sorunlar tüm Internet Teknolojileri için aynı, iyi birşeyler yaparken her zaman güvenlik önlemi ikinci plana atılır. Kevin Haley, Symantec güvenlik uzmanı, "Güvenliği yeni teknolojiler için ikinci plana atmak hiçte olağan dışı değildir. Ne zamanki ciddi bir güvenlik sorunu çıkarsa bu açıklar kapanmaya başlar." dedi.

Abrams: "Programcılar nasıl bir iş yapabilirim şeklinde düşünürken, kötü çocuklar nasıl daha kötü olabilirim şeklinde düşünür. Esas görüşün 'nasıl suistimal edilmem' şeklinde olması gereklidir böylece güvenlik ön plana çıkabilir." dedi.

IFrame Acısı
Televizyonlarımızda nasıl resim için resim özelliği varsa iFrame'de Web 2.0 için gereklidir. Bu yüzden en büyük hedeflerden biri haline gelmiştir. IFrame ile farkında olmadan sayfanın içinde başka bir sayfa açabilirsiniz bu da potansiyel bir saldırı için biçilmiş kaftan. Siz güvenilir bir siteye girdiğinizi sanırsınız fakat iFrame sizi başka yerlere götürür. Geçtiğimiz yaz 10,000'den fazla site bu yöntemle hacklendi. Artık iFrame için gönderilen raporlar haftalık olmaya başladı.

Dave Marcus, McAfee güvenlik uzmanı, "Bu olaylar göründüğünden daha fazla sorun yaratıyor. IFrame'in kalkmasıyla çok fazla bir eksiklik oluşacağını düşünmüyorum şuanki güvenlik sorunlarının yanında. Buna değiyorsa istemelisiniz." dedi, 10,000 sitenin hacklenmesi ve 80,000 kullanıcının bir tek site yüzünden etkilenmesine istinaden.

Buna rağmen, Window Snyder(evet ismi Window), Mozilla şef güvenlik şeyi ya da başka birşeyi(evet ünvanı bu), IFrame'i savunarak "Elimizden gelen herşeyi yapıyoruz fakat güvenlik zor bir kavram. İşe yarayacak, Firefox 3, IFrame koruması getirecek peki bu yüzde yüz güvenlik sağlayacak mı? Hayır, zaten hiçbirşey tam güvenli değildir." dedi. Ayrıca "Geliştiricilerde ağır bir yük var, onlardan kod incelemeleri, penetrasyon testleri yapmaları, güvenlik açıkları için çözüm üretmeleri ve daha birçok şey isteniyor.", "Birçok özellik güvenlik sorunu yaratıyor diye onları atamayız. Biz güvenlik sorunları için çözümler üretmeye çalışıyoruz fakat bunları yaparken her adımda güvenliği birinci planda tutmalısınız. Güvenliği daha sonradan çakamazsınız." diye ekledi.

Symantec'ten Haley, hiçbir şeyin yüzde yüz güvenli olmadığına katılıyor ayrıca IFrame'i tarayıcıdan şutlamaktan da emin değil. "Aslında IFrame çok fazla güvenlik sorunu yaratmıyor, çok fazla güvenli olmayabilir fakat yaptığı şey önemli."

Tasmayı Sıkma
Peki çözüm ne? Güvenlik uzmanları Web 2.0'ın zaptedilemeyen saltanatının artık yavaş yavaş dizginlenmesinin zamanı geldiğini düşünüyorlar. BT yöneticileri ise daha ılımlı yaklaşmanın bir seçenek olduğunu savunuyorlar.

Frank Cabri, Facetime ürün yönetimi yardımcı başkanı, "Herkes MySpace'i bloklayabilir, fakat biz daha ilerisine izin vererek MySpace'e girip, MySpace'in anlık mesajlaşma uygulamasına izin vermiyoruz. Böylece insanlar eğitilip sadece birkaç uygulamaya izin veriliyor. Bazen çalışanlarla sorun yaşanıyor, onlar bu özellikleri kullanmak istiyorlar fakat BT böyle işlemiyor, biz onlara bilgisayarı verirken herşey için serbest demiyoruz." dedi.

Landesman, "Geliştiriciler güvenlik alanında eğitilmeliler. Bu onları diğer alanlarda da daha fazla ileriye götürecektir." dedi.

Ben-Itzhak, "Girdi doğrulaması bir zorunluluktur. Web siteleri içeriğin ne yaptığına bakmalıdır. Eğer bilgisayarın ayarlarını değiştirmeye ya da erişim sağlamaya çalışıyorsa bu onun zararlı olduğunu göstermesi açısından yeterlidir. MySpace teknolojileriyle bunu yapabilir fakat bu zaman kaybına yol açar ama en azından kullanıcı ne olup bittiğini anlar." dedi.

Orbeton'da bu fikre katılarak, "Siteler web gelişiminden ve güvenlik kod teknolojilerine sahip olduklarından emin olmalıdır. Giren kodun taranmasından sonra içerisinde zararlı kodların olup olmadığı anlaşılır bunlar yok edildikten sonra kullanıcıya gönderilebilir." dedi.

Buffone: "Bu zaten bazı seviyelerde yapılıyor. Çoğu insan XSS yerine, isteği başlatıyor, bilgiyi çekiyor, veriyi bozup tekrar hosta gönderiyor."

Ayrıca kullanılan uygulamaların yeniden değerlendirilmesi gerekiyor, hatta güvenilir bir kaynaktan gelseler bile, mesela Google gibi. "Ben hassas finansal veriler için Google haritalarına güvenmem. Ayarlara bağlıdır, Flickr resimleriyle birleşince kim ne yapabilir? Bu yüzden özel haritalar için Google haritalarını sayfama koymam."

http://www.guvenli.org/icerik/1-2-08/web-20-guvenli-mi

Orjinal Kaynak: http://www.internetnews.com/webconte...2221_3726496_1