Bilgilerimiz pamuk ipliğine bağlı
2007/11/26

İnternet ile birlikte gündeme gelen bilgiye sürekli erişim ihtiyacı güvenliğin önemini de artırdı. Ne var ki bu konuda başarılı bir sınav verildiğinden söz etmeye imkân yok.
Next Generation Security Software adlı bir bilişim güvenlik firmasının kurucusu David Litchfield, geçtiğimiz günlerde bir araştırmasının sonucunu açıkladı. Buna göre Oracle ve Microsoft çözümleri kullanan 492 binden fazla veritabanı internet üstünden doğrudan erişilebilir şekilde her türlü sızıntıya açık halde duruyor. Bu endişe verici sonuca ulaşmak için kullanılan yöntemin basitliği de ayrı bir sorun. Litchfield, IP numarası yaratan birkaç satırlık bir programa 1 milyon 160 bin numara yaratmış ve benzer bir yazılımla bu listedeki bilgisayarlara internet üstünden basit saldırı kodları yollamış. Bu kısa çaba sonucunda da hiçbir korumaya sahip olmayan 368 bin Microsoft SQL, 124 bin de Oracle sunucuya ulaşmış. İşin diğer düşündürücü tarafıysa bu sistemleri yönetmekle sorumlu kişilerin yarısından fazlasının açıkları kapatmak için ilgili firmalar tarafından ücretsiz olarak dağıtılan yamaları hiç yüklememiş olmasıydı. Böylesine sıradan ve basit bir yöntemle bu kadar ileri gidilebiliyorsa, planlı ve hedefe yönelik bir saldırıyla neler yapılacağını insan düşünmek bile istemiyor. Ancak birçok farklı sebeplerle bunları düşünmeyi kendine iş edinmiş binlerce siber saldırgan olduğu da bir gerçek.
Casus fabrikası Kullanıcıların güvenliğine yönelik tehditler her zaman dışardan da gelmiyor. Taipei Times gazetesinin haberine göre Seagate tarafından Tayvan'da üretilen dizüstü bilgisayar sabit diskleri içine casus yazılımlar yüklenmiş. Bu gizli yazılım sabit diske yazılan her dosyayı kullanıcısına fark ettirmeden internet üstünden nice8.org ve we168.org adresindeki sitelere yolluyordu. Bu yazılımların sadece 500GB kapasiteli olan sabit disklere gizlenmesi de tesadüf değil zira bu boyuttaki diskler genellikle devlet kurumları tarafından geniş veritabanı arşivlerini taşımak için kullanılıyor. Çin hükümeti Tayvanlı dağıtıcı Xander International firmasına yaptığı uyarıyla 500GB kapasiteli bütün Seagate diskleri toplatıp imha etti. Ancak bu casus yazılımın disklere Seagate tarafından mı yoksa Çinli üretici tarafından mı yüklendiği ortaya çıkamadı. Bunun gibi ortaya çıkmayan birçok durumun olduğu düşünülürse internette bilgi güvenliği konusunun pamuk ipliğine bağlı hassasiyeti daha iyi anlaşılıyor. En genel tehlike bu bilgilerin fiziki olarak başka ellere geçmesi. Devlet ya da istihbarat kurumlarına ait bilgisayarların çalınması ya da kaybolmasına bağlı olaylar artık sıradan haber haline geldi. Ama bunlarla birlikte kaybolan bilgiler genellikle hep sumen altı ediliyor. Örneğin geçtiğimiz günlerde Britanya'da 16 yaşından küçük çocuğu olan ailelerinin veritabanının yer aldığı bir disk kayboldu. Bu bilginin o ailelere karşı nasıl kullanılacağı bilinmiyorsa da yakında pazarlamacılar ve gençlik ürünleri satanlardan epey dert yanacakları kesin. Uzmanlar gelişmiş bir ülkede bir yetişkinin bilgilerinin internette 700 ayrı veritabanında saklandığına dikkat çekerek veri güvenliği konusunun her geçen gün biraz daha zorlu bir gündem maddesi haline geldiğini belirtiyorlar.

Etiketler: bilgi, casus, güvenlik, internet, veritabanı