INFOSECURE şirketi tarafından yapılan denetimler sonucu ortaya cıkan en onemli 10 guvenlik acığı aşağıdıdaki şekildedir;
Turkiye'deki Şirketlerde En Sık Rastlanan Guvenlik Acıkları :
1 Hatalı Kablosuz Ağ Yapılandırması
2 Hatalı Yapılandırılmış Sanal Ozel Ağ (VPN) Sunucuları
3 Web Uygulamalarında SQL Sorgularının Değiştirilebilmesi
4 Web Uygulamalarında Başka Siteden Kod Calıştırma
5 Kolay Tahmin Edilebilir Şifrelere Sahip Kullanıcı Hesapları
6 SNMP Servisi Kullanımı
7 Guncellemeleri Yapılmamış Web Sunucusu
8 İşletim Sistemi ve Uygulamaların Standart Şekilde Kurulması
9 Hatalı Yapılandırılmış Saldırı Tespit Sistemleri
10 Guvenlik Duvarı Tarafından Korunmayan Sistemler
1 Hatalı Kablosuz Ağ Yapılandırması
Acıklama :
Gunumuzde kullanımı oldukca artan kablosuz ağlar, bircok kurumun yerel ağının bir parcası olmuştur Ancak kablosuz ağ erişim noktalarının, istemcilerin ve kablosuz ağ tasarımlarının yapılandırmasında guvenlik gereksinimleri gozonune alınmamaktadır İstemcilerin kimlik doğrulamasının yapılmaması, kriptolu erişim kullanılmaması, kablosuz ağların guvenlik duvarı aracılığıyla erişim denetimine tabi tutulmaması ve sinyal kalitesinde kısıtlama olmaması, saldırganların kablosuz ağlara sızmasını kolaylaştırmaktadır Kablosuz ağlara sızabilen bir saldırgan, kurum yerel ağına girebilir, sunuculara erişim sağlayabilir, tum ağ erişimlerini izleyebilir veya değiştirebilir
Cozum Onerileri :
Kablosuz ağ tasarımı yapılırken, kablosuz ağın Internet gibi guvensiz bir ağ olduğu goz onune alınmalı, guvenlik duvarının DMZ bolumunden giriş yapılması sağlanmalı, tercihen sanal ozel ağ (VPN) sistemleri kullanılmalı, sinyal kalitesinde kısıtlamalara gidilmeli ve istemciler harici doğrulama sistemleri tarafından kimlik kontrolune tabi tutulmalıdır Kurum guvenlik politikası dahilinde, gezgin kullanıcıların sistemlerinde kurumda kullanılmamasına rağmen kablosuz ağ kartı bulunması engellenmeli ve istemci kurumda iken ağ kartının devre dışı olması sağlanmalıdır
2 Hatalı Yapılandırılmış Sanal Ozel Ağ (VPN) Sunucuları
Acıklama :
Sanal ozel ağ (VPN) sunucuları guvensiz ağlar uzerinde guvenli iletişim tunelleri oluşturmak icin kullanılmaktadır Genel kullanım alanları arasında; kurum bolgeleri arası bağlantıları, cozum ortakları ile iletişim, veya gezgin istemcilerin yerel ağa guvenli bağlanabilmesi sayılabilmektedir Sıkca karşılaşılan sanal ozel ağ guvenlik acıkları arasında, sanal ozel ağ sunucularında harici kimlik doğrulama sistemleri kullanılmaması, sunucunun yerel ağda bulunması sonucu yerel ağa doğrudan erişim, istemciler ile Internet arasında iletişim izolasyonu olmaması ve zayıf kriptolama algoritmalarının secilmesi sayılabilmektedir Guvenlik acığı barındıran sanal ozel ağa sızabilen bir saldırgan, kurum ağına doğrudan erişim sağlayabilmekte ve yerel kullanıcı haklarına sahip olabilmektedir
Cozum Onerileri :
Sanal ozel ağ sunucuları kendilerine ayrılmış bir DMZ bolumu ve guvenlik duvarı aracılığıyla yerel ağa bağlanmalıdır Boylece guvenlik duvarına gelen iletişim kriptosuz olacak ve uzerinde erişim denetimi yapılabilecektir Gezgin kullanıcıların bağlantısında ise sayısal sertifika veya tek seferlik şifre gibi kimlik doğrulama yontemleri kullanılmalıdır Kriptolama amaclı kullanılacak algoritma mutlak suretle gunumuzde kolayca kırılamayan algoritmalar (3DES, AES vb) arasından secilmelidir Kullanılacak istemci yazılımları, Internet kullanımı ile sanal ozel ağ kullanımı arasında izolasyon yapmalı ve istemcilerin Internet'te farklı kaynaklara erişimini kısıtlamalıdır Ayrıca uzak erişimlerde sahip olunan yetkiler, yerel ağda sahip olunan yetkilerden cok daha az olacak şekilde yapılandırılmalıdır
3 Web Uygulamalarında SQL Sorgularının Değiştirilebilmesi
Acıklama :
Web uygulamalarında bazı bilgilerin tutulabilmesi icin SQL veritabanları kullanılmaktadır Uygulama geliştiricileri, bazı durumlarda kullanıcılardan gelen verileri beklenen veri turu ile karşılaştırmayarak SQL sorguları icinde kullanmaktadırlar Genel olarak problemler, uygulama geliştiricinin SQL sorgularında anlam ifade edebilecek ‘ ; UNION gibi kotu niyetli karakterlere karşı bir onlem almadığı zaman ortaya cıkmaktadır Bu durum kullanıcıya onceden planlanmamış uygulama duzeyinde erişim sağlayabilir İcinde SQL sorgulama barındıran bir cok urun SQL sorguları değiştirilebilmesine (SQL Injection) karşı savunmasızdır Saldırganlar SQL sorgularını değiştirme tekniklerini web sitelerine ve uygulamalara zarar vermek amaclı kullanmaktadırlar SQL enjeksiyon ile saldırgan tablo yaratabilir, değişiklikler yapabilir, veritabanı uzerinde erişim sağlayabilir veya veritabanı kullanıcısının hakları doğrultusunda sunucuda komut calıştırabilir
Cozum Onerileri :
Uygulamanın tum bileşenlerinde kullanılan değişkenler icin kontroller oluşturulmalı ve değişkene atanması beklenen veri turu ile kullanıcı girdisi karşılaştırılmalıdır Beklenen girdi turunden farklı karakterler saptanması durumunda, karakterler SQL sorgularında anlam ifade etmeyecek bicimde değiştirilmeli, silinmeli veya kullanıcıya uyarı mesajı dondurulmelidir Tercihen uygulamanın tamamı icin gecerli olacak, değişken turu ve atanabilecek girdi turunu parametre olarak alan ve kontrolleri yaptıktan sonra girdi kabul sonucu ureten sabit bir fonksiyon tercih edilmelidir
4 Web Uygulamalarında Başka Siteden Kod Calıştırma
Acıklama :
Başka siteden kod calıştırma (CrossSite Scripting) acıkları, bir saldırganın hedef web sitesi aracılığıyla site ziyaretcilerinin sisteminde komut calıştırabilmesine olanak tanımaktadır Saldırı sonucu olarak site ziyaretcilerinin browser'larında bulunabilecek guvenlik acıklarının kullanılması, JavaScriptActiveX ve VBScript komutlarının calıştırılmasını mumkun kılmaktadır Bu tur komutlar ile kullanıcıya ait site cerezleri alınabilir, kaydedilmiş şifreler calınabilir veya browser'da bulunabilecek guvenlik acıkları ile kullanıcı sistemi ele gecirilebilir Ayrıca elektronik ticaret veya bankacılık uygulamaları icin sahte giriş ekranları oluşturularak ziyaretcilerin yanıltılması ve sonucunda kullanıcıya ait onemli bilgilerin ele gecirilmesi mumkun olabilir
Cozum Onerileri :
Uygulamanın tum bileşenlerinde kullanılan değişkenler icin kontroller oluşturulmalı ve değişkene atanması beklenen veri turu ile kullanıcı girdisi karşılaştırılmalıdır Beklenen girdi turunden farklı karakterler (orn ;()) saptanması durumunda, karakterler anlam ifade etmeyecek bicimde değiştirilmeli, silinmeli veya kullanıcıya uyarı mesajı dondurulmelidir Tercihen uygulamanın tamamı icin gecerli olacak, değişken turu ve atanabilecek girdi turunu parametre olarak alan ve kontrolleri yaptıktan sonra girdi kabul sonucu ureten sabit bir fonksiyon tercih edilmelidir
5 Kolay Tahmin Edilebilir Şifrelere Sahip Kullanıcı Hesapları
Acıklama :
Ağda bulunan istemci, sistem yoneticisi veya servislere ozel kullanıcı hesaplarının kolay tahmin edilebilir şifrelere sahip olması, bir saldırganın kurum ağına yonelik kullanabileceği en basit saldırı yontemidir Ozellikle yonlendirici yonetim şifreleri veya sunucu servislerine ait kullanıcı hesaplarının şifreleri kolayca tahmin edilebilmektedir Web temelli uygulamaların yaygınlaşması ile web temelli uygulamalar da şifre secim hatalarından etkilenmektedir Bir saldırganın, yonetim hesaplarını veya gecerli bir kullanıcıya ait şifreleri ele gecirmesi durumunda, kurum ağına sınırsız erişim sağlanabilmekte ve istenen ağ sistemi kolayca ele gecirilebilmektedir
Cozum Onerileri :
Şifre secimi, kalitesi ve yonetimi konusunda kurum politikası oluşturulmalıdır Başta sistem yoneticileri olmak uzere kullanıcıların şifre secim kriterlerine uyumu, dizin hizmetleri veya alan denetcileri ile sağlanmalı ve kullanıcıların daha zor tahmin edilebilir şifre secimleri yapmaları sağlanmalıdır Ozel uygulama alanlarında (sanal ozel ağ, ERP yazılımları, bankacılık uygulamaları vb) harici doğrulama sistemleri veya sayısal sertifikalar kullanılmalıdır Web temelli uygulamaların tasarımında, kullanıcı hesap yonetimi ve şifre secimi konusunda, beklenen kriterlerin uygulanması zorlayıcı olmalıdır
6 SNMP Servisi Kullanımı
Acıklama :
SNMP protokolu, ağ yonetim ve izleme amaclı olarak kullanılmaktadır Kurumsal ağlarda, bircok sunucu veya ağ bileşeninde SNMP servisi kullanılmaktadır Kurumlar, Internet erişim ortamında guvenlik duvarı aracılığıyla sunucularda bulunan SNMP servisine erişimleri engellenmektedir Ancak guvenlik duvarının onunde yer almakta olan bircok yonlendirici SNMP servisini ve SNMP servisinin yapısından kaynaklanan guvenlik sorunlarını icermektedir UDP protokolu temelli olması, kullanıcı adı ve şifre doğrulamaları kullanmaması, SNMP protokolunun en zayıf yonlerindendir Yonlendirici uzerinde bulunan SNMP servisini ele geciren bir saldırgan, tum kurumsal ağ trafiğini tunelleme ile kendisine aktarabilir, yonlendirme tablolarında değişiklik yapabilir ve kurum ağına geciş icin yonlendiriciyi atlama noktası olarak kullanabilir
Cozum Onerileri :
Internet erişimine acık sistemlerde SNMP servisinin kullanılmaması tavsiye edilir SNMP protokolunun kullanılması gerekli ise yonlendiricisunucu uzerinde bulunan paket filtreleme secenekleri ve erişim denetim kuralları aracılığıyla sadece bağlanması istenen sistemlere izin verilmelidir Ayrıca SNMP erişimi icin zor bir iletişim kelimesi tanımlanmalı ve iletişim TCP protokolu temelli veya yonlendiricisunucu destekliyor ise kriptolu veri trafiği uzerinden yapılmalıdır
Turkiye'deki Şirketlerde En Sık Rastlanan Guvenlik Acıkları :
1 Hatalı Kablosuz Ağ Yapılandırması
2 Hatalı Yapılandırılmış Sanal Ozel Ağ (VPN) Sunucuları
3 Web Uygulamalarında SQL Sorgularının Değiştirilebilmesi
4 Web Uygulamalarında Başka Siteden Kod Calıştırma
5 Kolay Tahmin Edilebilir Şifrelere Sahip Kullanıcı Hesapları
6 SNMP Servisi Kullanımı
7 Guncellemeleri Yapılmamış Web Sunucusu
8 İşletim Sistemi ve Uygulamaların Standart Şekilde Kurulması
9 Hatalı Yapılandırılmış Saldırı Tespit Sistemleri
10 Guvenlik Duvarı Tarafından Korunmayan Sistemler
1 Hatalı Kablosuz Ağ Yapılandırması
Acıklama :
Gunumuzde kullanımı oldukca artan kablosuz ağlar, bircok kurumun yerel ağının bir parcası olmuştur Ancak kablosuz ağ erişim noktalarının, istemcilerin ve kablosuz ağ tasarımlarının yapılandırmasında guvenlik gereksinimleri gozonune alınmamaktadır İstemcilerin kimlik doğrulamasının yapılmaması, kriptolu erişim kullanılmaması, kablosuz ağların guvenlik duvarı aracılığıyla erişim denetimine tabi tutulmaması ve sinyal kalitesinde kısıtlama olmaması, saldırganların kablosuz ağlara sızmasını kolaylaştırmaktadır Kablosuz ağlara sızabilen bir saldırgan, kurum yerel ağına girebilir, sunuculara erişim sağlayabilir, tum ağ erişimlerini izleyebilir veya değiştirebilir
Cozum Onerileri :
Kablosuz ağ tasarımı yapılırken, kablosuz ağın Internet gibi guvensiz bir ağ olduğu goz onune alınmalı, guvenlik duvarının DMZ bolumunden giriş yapılması sağlanmalı, tercihen sanal ozel ağ (VPN) sistemleri kullanılmalı, sinyal kalitesinde kısıtlamalara gidilmeli ve istemciler harici doğrulama sistemleri tarafından kimlik kontrolune tabi tutulmalıdır Kurum guvenlik politikası dahilinde, gezgin kullanıcıların sistemlerinde kurumda kullanılmamasına rağmen kablosuz ağ kartı bulunması engellenmeli ve istemci kurumda iken ağ kartının devre dışı olması sağlanmalıdır
2 Hatalı Yapılandırılmış Sanal Ozel Ağ (VPN) Sunucuları
Acıklama :
Sanal ozel ağ (VPN) sunucuları guvensiz ağlar uzerinde guvenli iletişim tunelleri oluşturmak icin kullanılmaktadır Genel kullanım alanları arasında; kurum bolgeleri arası bağlantıları, cozum ortakları ile iletişim, veya gezgin istemcilerin yerel ağa guvenli bağlanabilmesi sayılabilmektedir Sıkca karşılaşılan sanal ozel ağ guvenlik acıkları arasında, sanal ozel ağ sunucularında harici kimlik doğrulama sistemleri kullanılmaması, sunucunun yerel ağda bulunması sonucu yerel ağa doğrudan erişim, istemciler ile Internet arasında iletişim izolasyonu olmaması ve zayıf kriptolama algoritmalarının secilmesi sayılabilmektedir Guvenlik acığı barındıran sanal ozel ağa sızabilen bir saldırgan, kurum ağına doğrudan erişim sağlayabilmekte ve yerel kullanıcı haklarına sahip olabilmektedir
Cozum Onerileri :
Sanal ozel ağ sunucuları kendilerine ayrılmış bir DMZ bolumu ve guvenlik duvarı aracılığıyla yerel ağa bağlanmalıdır Boylece guvenlik duvarına gelen iletişim kriptosuz olacak ve uzerinde erişim denetimi yapılabilecektir Gezgin kullanıcıların bağlantısında ise sayısal sertifika veya tek seferlik şifre gibi kimlik doğrulama yontemleri kullanılmalıdır Kriptolama amaclı kullanılacak algoritma mutlak suretle gunumuzde kolayca kırılamayan algoritmalar (3DES, AES vb) arasından secilmelidir Kullanılacak istemci yazılımları, Internet kullanımı ile sanal ozel ağ kullanımı arasında izolasyon yapmalı ve istemcilerin Internet'te farklı kaynaklara erişimini kısıtlamalıdır Ayrıca uzak erişimlerde sahip olunan yetkiler, yerel ağda sahip olunan yetkilerden cok daha az olacak şekilde yapılandırılmalıdır
3 Web Uygulamalarında SQL Sorgularının Değiştirilebilmesi
Acıklama :
Web uygulamalarında bazı bilgilerin tutulabilmesi icin SQL veritabanları kullanılmaktadır Uygulama geliştiricileri, bazı durumlarda kullanıcılardan gelen verileri beklenen veri turu ile karşılaştırmayarak SQL sorguları icinde kullanmaktadırlar Genel olarak problemler, uygulama geliştiricinin SQL sorgularında anlam ifade edebilecek ‘ ; UNION gibi kotu niyetli karakterlere karşı bir onlem almadığı zaman ortaya cıkmaktadır Bu durum kullanıcıya onceden planlanmamış uygulama duzeyinde erişim sağlayabilir İcinde SQL sorgulama barındıran bir cok urun SQL sorguları değiştirilebilmesine (SQL Injection) karşı savunmasızdır Saldırganlar SQL sorgularını değiştirme tekniklerini web sitelerine ve uygulamalara zarar vermek amaclı kullanmaktadırlar SQL enjeksiyon ile saldırgan tablo yaratabilir, değişiklikler yapabilir, veritabanı uzerinde erişim sağlayabilir veya veritabanı kullanıcısının hakları doğrultusunda sunucuda komut calıştırabilir
Cozum Onerileri :
Uygulamanın tum bileşenlerinde kullanılan değişkenler icin kontroller oluşturulmalı ve değişkene atanması beklenen veri turu ile kullanıcı girdisi karşılaştırılmalıdır Beklenen girdi turunden farklı karakterler saptanması durumunda, karakterler SQL sorgularında anlam ifade etmeyecek bicimde değiştirilmeli, silinmeli veya kullanıcıya uyarı mesajı dondurulmelidir Tercihen uygulamanın tamamı icin gecerli olacak, değişken turu ve atanabilecek girdi turunu parametre olarak alan ve kontrolleri yaptıktan sonra girdi kabul sonucu ureten sabit bir fonksiyon tercih edilmelidir
4 Web Uygulamalarında Başka Siteden Kod Calıştırma
Acıklama :
Başka siteden kod calıştırma (CrossSite Scripting) acıkları, bir saldırganın hedef web sitesi aracılığıyla site ziyaretcilerinin sisteminde komut calıştırabilmesine olanak tanımaktadır Saldırı sonucu olarak site ziyaretcilerinin browser'larında bulunabilecek guvenlik acıklarının kullanılması, JavaScriptActiveX ve VBScript komutlarının calıştırılmasını mumkun kılmaktadır Bu tur komutlar ile kullanıcıya ait site cerezleri alınabilir, kaydedilmiş şifreler calınabilir veya browser'da bulunabilecek guvenlik acıkları ile kullanıcı sistemi ele gecirilebilir Ayrıca elektronik ticaret veya bankacılık uygulamaları icin sahte giriş ekranları oluşturularak ziyaretcilerin yanıltılması ve sonucunda kullanıcıya ait onemli bilgilerin ele gecirilmesi mumkun olabilir
Cozum Onerileri :
Uygulamanın tum bileşenlerinde kullanılan değişkenler icin kontroller oluşturulmalı ve değişkene atanması beklenen veri turu ile kullanıcı girdisi karşılaştırılmalıdır Beklenen girdi turunden farklı karakterler (orn ;()) saptanması durumunda, karakterler anlam ifade etmeyecek bicimde değiştirilmeli, silinmeli veya kullanıcıya uyarı mesajı dondurulmelidir Tercihen uygulamanın tamamı icin gecerli olacak, değişken turu ve atanabilecek girdi turunu parametre olarak alan ve kontrolleri yaptıktan sonra girdi kabul sonucu ureten sabit bir fonksiyon tercih edilmelidir
5 Kolay Tahmin Edilebilir Şifrelere Sahip Kullanıcı Hesapları
Acıklama :
Ağda bulunan istemci, sistem yoneticisi veya servislere ozel kullanıcı hesaplarının kolay tahmin edilebilir şifrelere sahip olması, bir saldırganın kurum ağına yonelik kullanabileceği en basit saldırı yontemidir Ozellikle yonlendirici yonetim şifreleri veya sunucu servislerine ait kullanıcı hesaplarının şifreleri kolayca tahmin edilebilmektedir Web temelli uygulamaların yaygınlaşması ile web temelli uygulamalar da şifre secim hatalarından etkilenmektedir Bir saldırganın, yonetim hesaplarını veya gecerli bir kullanıcıya ait şifreleri ele gecirmesi durumunda, kurum ağına sınırsız erişim sağlanabilmekte ve istenen ağ sistemi kolayca ele gecirilebilmektedir
Cozum Onerileri :
Şifre secimi, kalitesi ve yonetimi konusunda kurum politikası oluşturulmalıdır Başta sistem yoneticileri olmak uzere kullanıcıların şifre secim kriterlerine uyumu, dizin hizmetleri veya alan denetcileri ile sağlanmalı ve kullanıcıların daha zor tahmin edilebilir şifre secimleri yapmaları sağlanmalıdır Ozel uygulama alanlarında (sanal ozel ağ, ERP yazılımları, bankacılık uygulamaları vb) harici doğrulama sistemleri veya sayısal sertifikalar kullanılmalıdır Web temelli uygulamaların tasarımında, kullanıcı hesap yonetimi ve şifre secimi konusunda, beklenen kriterlerin uygulanması zorlayıcı olmalıdır
6 SNMP Servisi Kullanımı
Acıklama :
SNMP protokolu, ağ yonetim ve izleme amaclı olarak kullanılmaktadır Kurumsal ağlarda, bircok sunucu veya ağ bileşeninde SNMP servisi kullanılmaktadır Kurumlar, Internet erişim ortamında guvenlik duvarı aracılığıyla sunucularda bulunan SNMP servisine erişimleri engellenmektedir Ancak guvenlik duvarının onunde yer almakta olan bircok yonlendirici SNMP servisini ve SNMP servisinin yapısından kaynaklanan guvenlik sorunlarını icermektedir UDP protokolu temelli olması, kullanıcı adı ve şifre doğrulamaları kullanmaması, SNMP protokolunun en zayıf yonlerindendir Yonlendirici uzerinde bulunan SNMP servisini ele geciren bir saldırgan, tum kurumsal ağ trafiğini tunelleme ile kendisine aktarabilir, yonlendirme tablolarında değişiklik yapabilir ve kurum ağına geciş icin yonlendiriciyi atlama noktası olarak kullanabilir
Cozum Onerileri :
Internet erişimine acık sistemlerde SNMP servisinin kullanılmaması tavsiye edilir SNMP protokolunun kullanılması gerekli ise yonlendiricisunucu uzerinde bulunan paket filtreleme secenekleri ve erişim denetim kuralları aracılığıyla sadece bağlanması istenen sistemlere izin verilmelidir Ayrıca SNMP erişimi icin zor bir iletişim kelimesi tanımlanmalı ve iletişim TCP protokolu temelli veya yonlendiricisunucu destekliyor ise kriptolu veri trafiği uzerinden yapılmalıdır